ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πρώτο τμήμα)
« Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Δημοσίευση, στο εμπορικό μητρώο, εταιρικής σύμβασης που περιέχει δεδομένα προσωπικού χαρακτήρα – Οδηγία (ΕΕ) 2017/1132 – Μη απαιτούμενα δεδομένα προσωπικού χαρακτήρα – Έλλειψη συγκατάθεσης του υποκειμένου των δεδομένων – Δικαίωμα διαγραφής – Μη υλική ζημία »
Στην υπόθεση C‑200/23,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Varhoven administrativen sad (Ανώτατο Διοικητικό Δικαστήριο, Βουλγαρία) με απόφαση της 21ης Μαρτίου 2023, η οποία περιήλθε στο Δικαστήριο στις 28 Μαρτίου 2023, στο πλαίσιο της δίκης
Agentsia po vpisvaniyata
κατά
OL,
παρισταμένης της:
Varhovna administrativna prokuratura,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πρώτο τμήμα),
συγκείμενο από τους A. Arabadjiev, πρόεδρο τμήματος, T. von Danwitz (εισηγητή), P. G. Xuereb, A. Kumin και I. Ziemele, δικαστές,
γενική εισαγγελέας: L. Medina
γραμματέας: R. Stefanova-Kamisheva, διοικητική υπάλληλος,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 7ης Μαρτίου 2024,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– η Agentsia po vpisvaniyata, εκπροσωπούμενη από τον I. D. Ivanov και την D. S. Miteva, με τη συνδρομή της Z. N. Mandazhieva, advokat,
– η OL, εκπροσωπώντας τον εαυτό της, επικουρούμενη από τους I. Stoynev και T. Tsonev, advokati,
– η Βουλγαρική Κυβέρνηση, εκπροσωπούμενη από την T. Mitova και τον R. Stoyanov,
– η Γερμανική Κυβέρνηση, εκπροσωπούμενη από τους J. Möller και P.‑L. Krüger,
– η Ιρλανδία, εκπροσωπούμενη από την M. Browne, Chief State Solicitor, τον A. Joyce, την M. Lane και τον M. Tierney, επικουρούμενους από τον I. Boyle Harper, BL,
– η Ιταλική Κυβέρνηση, εκπροσωπούμενη από την G. Palmieri, επικουρούμενη από τον G. Natale, avvocato dello Stato,
– η Πολωνική Κυβέρνηση, εκπροσωπούμενη από τον B. Majczyna,
– η Φινλανδική Κυβέρνηση, εκπροσωπούμενη από την A. Laine,
– η Ευρωπαϊκή Επιτροπή, από τον Α. Μπουχάγιαρ, την C. Georgieva, τον H. Kranenborg και τον L. Malferrari,
αφού άκουσε τη γενική εισαγγελέα που ανέπτυξε τις προτάσεις της κατά τη συνεδρίαση της 30ής Μαΐου 2024,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία των άρθρων 3 και 4 της οδηγίας 2009/101/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Σεπτεμβρίου 2009, περί συντονισμού των εγγυήσεων που απαιτούνται στα κράτη μέλη εκ μέρους των εταιρειών, κατά την έννοια του άρθρου 48 δεύτερο εδάφιο [ΕΚ], για την προστασία των συμφερόντων των εταίρων και των τρίτων, με σκοπό να καταστούν οι εγγυήσεις αυτές ισοδύναμες (ΕΕ 2009, L 258, σ. 11), καθώς και των άρθρων 4, 6, 17, 58 και 82 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, στο εξής: ΓΚΠΔ).
2 Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της Agentsia po vpisvaniyata (υπηρεσία καταχωρίσεων στα μητρώα, Βουλγαρία) (στο εξής: Υπηρεσία) και της OL, σχετικά με την άρνηση της Υπηρεσίας να διαγράψει ορισμένα δεδομένα προσωπικού χαρακτήρα τα οποία αφορούσαν την OL και περιέχονταν σε εταιρική σύμβαση δημοσιευθείσα στο εμπορικό μητρώο.
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
Η οδηγία (ΕΕ) 2017/1132
3 Η οδηγία (ΕΕ) 2017/1132 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Ιουνίου 2017, σχετικά με ορισμένες πτυχές του εταιρικού δίκαιου (ΕΕ 2017, L 69, σ. 46), από την ημερομηνία έναρξης της ισχύος της, στις 20 Ιουλίου 2017, κατήργησε και αντικατέστησε την οδηγία 2009/101.
4 Οι αιτιολογικές σκέψεις 1, 7, 8 και 12 της οδηγίας 2017/1132 έχουν ως εξής:
«(1) Οι οδηγίες [2009/101] και 2012/30/ΕΕ [του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Οκτωβρίου 2012, περί συντονισμού των εγγυήσεων που απαιτούνται στα κράτη μέλη εκ μέρους των εταιρειών, κατά την έννοια του άρθρου 54 δεύτερο εδάφιο [ΣΛΕΕ], για την προστασία των συμφερόντων των εταίρων και των τρίτων, με σκοπό να καταστούν οι εγγυήσεις αυτές ισοδύναμες όσον αφορά τη σύσταση ανωνύμων εταιρειών και τη διατήρηση και τις μεταβολές του κεφαλαίου τους (ΕΕ 2012, L 315, σ. 74)] έχουν τροποποιηθεί επανειλημμένα και ουσιωδώς […]. Για λόγους σαφήνειας και ορθολογισμού, θα πρέπει οι εν λόγω οδηγίες να κωδικοποιηθούν.
[…]
(7) Ο συντονισμός των εθνικών διατάξεων που αφορούν τη δημοσιότητα, την ισχύ των υποχρεώσεων και την ακυρότητα των μετοχικών εταιρειών και των εταιρειών περιορισμένης ευθύνης έχει ιδιάζουσα σημασία, κυρίως προκειμένου να εξασφαλίζεται η προστασία των συμφερόντων των τρίτων.
(8) Η δημοσιότητα θα πρέπει να επιτρέπει στους τρίτους να γνωρίζουν τις ουσιώδεις καταστατικές πράξεις μιας εταιρείας καθώς και ορισμένα στοιχεία που την αφορούν, ιδίως δε τα ατομικά στοιχεία των προσώπων που έχουν εξουσία να τη δεσμεύουν.
[…]
(12) Η διασυνοριακή πρόσβαση σε πληροφορίες εταιρειών θα πρέπει να διευκολυνθεί επιτρέποντας, πέραν της υποχρεωτικής δημοσιοποίησης σε μία από τις γλώσσες που επιτρέπονται στο οικείο κράτος μέλος της εταιρείας, την προαιρετική επιπρόσθετη καταχώριση σε άλλες γλώσσες των απαιτούμενων πράξεων και στοιχείων. Οι καλόπιστοι τρίτοι θα πρέπει να μπορούν να επικαλούνται τις μεταφράσεις αυτές.»
5 Στο τμήμα 1 του κεφαλαίου ΙΙ του τίτλου Ι της οδηγίας 2017/1132, το οποίο επιγράφεται «Σύσταση της ανώνυμης εταιρείας», περιλαμβάνεται το άρθρο 4 της οδηγίας αυτής, το οποίο τιτλοφορείται «Απαιτούμενες πληροφορίες που πρέπει να παρέχονται στο καταστατικό ή στη συστατική πράξη ή σε χωριστό έγγραφο», και ορίζει τα εξής:
«Οι κατωτέρω τουλάχιστον ενδείξεις περιέχονται είτε στο καταστατικό είτε στη συστατική πράξη είτε σε χωριστό έγγραφο, το οποίο δημοσιεύεται σύμφωνα με τη διαδικασία που προβλέπεται από τη νομοθεσία κάθε κράτους μέλους κατά το άρθρο 16:
[…]
θ) τα ατομικά στοιχεία των φυσικών ή νομικών προσώπων ή των εταιρειών που υπέγραψαν ή στο όνομα των οποίων έχουν υπογραφεί τα καταστατικά ή η συστατική πράξη ή, όταν η σύσταση της εταιρείας δεν πραγματοποιείται ταυτόχρονα, η ταυτότητα των φυσικών ή νομικών προσώπων ή των εταιρειών που υπέγραψαν ή στο όνομα των οποίων έχουν υπογραφεί τα σχέδια καταστατικού ή η συστατική πράξη·
[…]».
6 Το τμήμα 1 του κεφαλαίου III του τίτλου I της οδηγίας 2017/1132 επιγράφεται «Γενικές διατάξεις» και περιλαμβάνει τα άρθρα 13 έως 28.
7 Το άρθρο 13 της οδηγίας 2017/1132 φέρει τον τίτλο «Πεδίο εφαρμογής» και έχει ως εξής:
«Τα μέτρα συντονισμού που καθορίζονται με το παρόν τμήμα εφαρμόζονται στις νομοθετικές, κανονιστικές και διοικητικές διατάξεις των κρατών μελών που αφορούν τις μορφές εταιρειών που παρατίθενται στο παράρτημα II.»
8 Το άρθρο 14 της οδηγίας 2017/1132 τιτλοφορείται «Πράξεις και στοιχεία που πρέπει να δημοσιεύονται από τις εταιρείες» και ορίζει τα εξής:
«Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα ώστε η υποχρέωση δημοσιότητας των εταιρειών να περιλαμβάνει τουλάχιστον τις ακόλουθες πράξεις και στοιχεία:
α) την ιδρυτική πράξη και το καταστατικό εφόσον αυτό αποτελεί αντικείμενο ιδιαιτέρας πράξεως·
β) τις τροποποιήσεις των αναφερόμενων στο στοιχείο α) πράξεων, συμπεριλαμβανομένης και της παράτασης της διάρκειας της εταιρείας·
γ) ύστερα από κάθε τροποποίηση της ιδρυτικής πράξεως ή του καταστατικού, το πλήρες κείμενο της τροποποιηθείσας πράξεως στη νέα διατύπωσή του·
δ) τον διορισμό, την αποχώρηση καθώς και τα ατομικά στοιχεία των προσώπων τα οποία, είτε ως όργανο προβλεπόμενο από τον νόμο, είτε ως μέλη τέτοιου οργάνου:
i) έχουν την εξουσία να δεσμεύουν την εταιρεία έναντι τρίτων και να την εκπροσωπούν ενώπιον δικαστηρίου· από τα στοιχεία που δημοσιοποιούνται προκύπτει με σαφήνεια αν τα πρόσωπα που έχουν την εξουσία να δεσμεύουν την εταιρεία δύνανται να ενεργούν μόνα τους ή οφείλουν να ενεργούν από κοινού,
ii) συμμετέχουν στη διοίκηση, στην εποπτεία, ή στον έλεγχο της εταιρείας·
[…]».
9 Το άρθρο 15, παράγραφος 1, της οδηγίας 2017/1132 επιγράφεται «Αλλαγές σε πράξεις και στοιχεία» και προβλέπει τα εξής:
«Τα κράτη μέλη θεσπίζουν τα απαιτούμενα μέτρα για να εξασφαλίσουν ότι τυχόν αλλαγές στις πράξεις και στα στοιχεία που αναφέρονται στο άρθρο 14 εγγράφονται στο κατάλληλο μητρώο που αναφέρεται στο άρθρο 16 παράγραφος 1 πρώτο εδάφιο και δημοσιοποιούνται, σύμφωνα με το άρθρο 16 παράγραφοι 3 και 5, υπό κανονικές συνθήκες, εντός 21 ημερών από την παραλαβή της πλήρους τεκμηρίωσης για τις εν λόγω αλλαγές, περιλαμβανομένου, κατά περίπτωση, του ελέγχου νομιμότητας, όπως απαιτείται από το εθνικό δίκαιο για την καταχώριση στον φάκελο.»
10 Το άρθρο 16 της οδηγίας 2017/1132 φέρει τον τίτλο «Δημοσιότητα στο μητρώο» και έχει ως εξής:
«1. Σε κάθε κράτος μέλος ανοίγεται φάκελος σε κεντρικό μητρώο ή εμπορικό μητρώο ή σε μητρώο εταιρειών (“το μητρώο”) για κάθε καταχωριζόμενη εταιρεία.
[…]
3. Όλες οι πράξεις και τα λοιπά στοιχεία που απαιτείται να υπόκεινται σε δημοσιότητα δυνάμει του άρθρου 14 τηρούνται στον φάκελο ή καταχωρίζονται στο μητρώο· το αντικείμενο των καταχωρίσεων στο μητρώο εμφανίζεται σε κάθε περίπτωση στο φάκελο.
Τα κράτη μέλη εξασφαλίζουν ότι η καταχώριση όλων των πράξεων και στοιχείων που απαιτείται να δίδονται στη δημοσιότητα δυνάμει του άρθρου 14, από εταιρείες και άλλα πρόσωπα και οργανισμούς που υποχρεούνται σε δήλωση ή συμμετοχή σε υποβολή δήλωσης, να είναι δυνατή με ηλεκτρονικά μέσα. Εκτός αυτού, τα κράτη μέλη δύνανται να επιβάλλουν σε όλες τις εταιρείες ή σε ορισμένες κατηγορίες εταιρειών την καταχώριση με ηλεκτρονικά μέσα όλων ή ορισμένων κατηγοριών των εν λόγω πράξεων και στοιχείων.
Όλες οι πράξεις και τα στοιχεία που μνημονεύονται στο άρθρο 14 και κατατίθενται είτε σε χαρτί είτε με ηλεκτρονικά μέσα, τηρούνται στον φάκελο ή καταχωρίζονται στο μητρώο σε ηλεκτρονική μορφή. Για τον σκοπό αυτό, τα κράτη μέλη μεριμνούν για τη μετατροπή σε ηλεκτρονική μορφή από το μητρώο τέτοιων πράξεων και στοιχείων τα οποία κατατίθενται σε χαρτί.
[…]
4. Πλήρη αντίγραφα ή αποσπάσματα των κατά το άρθρο 14 πράξεων ή στοιχείων είναι δυνατό να λαμβάνονται κατόπιν αιτήσεως. Οι αιτήσεις μπορούν να υποβάλλονται στο μητρώο είτε σε χαρτί είτε με ηλεκτρονικά μέσα, κατ’ επιλογή του αιτούντος.
[…]
5. Η δημοσιότητα των αναφερομένων στην παράγραφο 3 πράξεων και στοιχείων εξασφαλίζεται με τη δημοσίευση στο οριζόμενο από το κράτος μέλος εθνικό δελτίο υπό μορφή είτε ολικής ή μερικής αναδημοσιεύσεως, είτε αναγραφής μνείας που παραπέμπει στην κατάθεση του εγγράφου στον φάκελο ή στην καταχώρισή του στο μητρώο. Το οριζόμενο προς το σκοπό αυτό εθνικό δελτίο δύναται να τηρείται σε ηλεκτρονική μορφή.
Τα κράτη μέλη δύνανται να αποφασίσουν να αντικαταστήσουν τη δημοσίευση στο εθνικό δελτίο με άλλο, εξίσου αποτελεσματικό μέσο το οποίο να προϋποθέτει οπωσδήποτε τη χρήση συστήματος διά του οποίου η προσπέλαση στις δημοσιευόμενες πληροφορίες είναι δυνατή κατά χρονολογική σειρά μέσω κεντρικής ηλεκτρονικής πλατφόρμας.
6. Οι πράξεις και τα στοιχεία αντιτάσσονται κατά τρίτων από την εταιρεία μόνον εφόσον έχουν δοθεί στη δημοσιότητα βάσει της παραγράφου 5, εκτός αν η εταιρεία αποδείξει ότι οι εν λόγω τρίτοι είχαν γνώση αυτών.
[…]
7. Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για την αποφυγή κάθε ασυμφωνίας μεταξύ του κειμένου που δόθηκε στη δημοσιότητα βάσει της παραγράφου 5 και του περιλαμβανομένου στο μητρώο ή στον φάκελο του κειμένου.
Εντούτοις, σε περίπτωση ασυμφωνίας, το κείμενο που δίδεται στη δημοσιότητα βάσει της παραγράφου 5 δεν δύναται να αντιταχθεί κατά τρίτων· οι τρίτοι δύνανται, ωστόσο, να το επικαλεσθούν εκτός εάν η εταιρεία αποδείξει ότι οι τρίτοι είχαν γνώση του κειμένου που κατατέθηκε στον φάκελο ή καταχωρίσθηκε στο μητρώο.
[…]»
11 Το άρθρο 21 της οδηγίας 2017/1132 τιτλοφορείται «Γλώσσα δημοσιότητας και μετάφραση των δημοσιοποιούμενων πράξεων και στοιχείων» και προβλέπει τα εξής:
«1. Οι πράξεις και τα στοιχεία που πρέπει να δίδονται στη δημοσιότητα δυνάμει του άρθρου 14 καταρτίζονται και κατατίθενται σε μία από τις γλώσσες που είναι εγκεκριμένες σύμφωνα με τους οικείους κανόνες που ισχύουν στο κράτος μέλος όπου ανοίγεται ο αναφερόμενος στο άρθρο 16 παράγραφος 1 φάκελος.
2. Εκτός από την υποχρεωτική δημοσιότητα των πράξεων και στοιχείων σύμφωνα με το άρθρο 16, τα κράτη μέλη επιτρέπουν τη, σύμφωνα με το άρθρο 14, οικειοθελή δημοσιοποίηση των μεταφράσεων των πράξεων και στοιχείων που μνημονεύονται στο άρθρο 16 σε οποιαδήποτε επίσημη γλώσσα ή γλώσσες της [Ευρωπαϊκής] Ένωσης.
Τα κράτη μέλη δύνανται να επιβάλλουν την επικύρωση των μεταφράσεων των εν λόγω πράξεων και στοιχείων.
Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα προκειμένου να διευκολυνθεί η πρόσβαση τρίτων στις μεταφράσεις που δημοσιοποιήθηκαν οικειοθελώς.
3. Εκτός από την κατ’ άρθρο 16 υποχρεωτική δημοσιοποίηση και την οικειοθελή δημοσιοποίηση βάσει της παραγράφου 2 του παρόντος άρθρου, τα κράτη μέλη δύνανται να επιτρέπουν τη σύμφωνα με το άρθρο 16 δημοσιοποίηση των οικείων πράξεων και στοιχείων σε οποιαδήποτε άλλη γλώσσα.
[…]
4. Σε περίπτωση διαφορών μεταξύ των πράξεων και των στοιχείων που δημοσιοποιήθηκαν στις επίσημες γλώσσες του μητρώου και της οικειοθελώς δημοσιευθείσας μετάφρασης, η τελευταία δεν είναι αντιτάξιμη έναντι τρίτων. […]»
12 Το άρθρο 161 της οδηγίας 2017/1132 επιγράφεται «Προστασία δεδομένων» και έχει ως εξής:
«Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο της παρούσας οδηγίας υπόκειται στις διατάξεις της οδηγίας 95/46/ΕΚ [του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31)].»
13 Το άρθρο 166 της οδηγίας 2017/1132 φέρει τον τίτλο «Κατάργηση» και ορίζει τα εξής:
«Οι οδηγίες [2009/101] και [2012/30] καταργούνται […].
Οι αναφορές στις καταργούμενες οδηγίες νοούνται ως αναφορές στην παρούσα οδηγία και διαβάζονται σύμφωνα με τον πίνακα αντιστοιχίας του παραρτήματος IV.»
14 Στο παράρτημα II της οδηγίας 2017/1132 απαριθμούνται οι εταιρικές μορφές στις οποίες αναφέρονται το άρθρο 7, παράγραφος 1, το άρθρο 13, το άρθρο 29, παράγραφος 1, το άρθρο 36, παράγραφος 1, το άρθρο 67, παράγραφος 1 και το άρθρο 119, παράγραφος 1, στοιχείο αʹ, της οδηγίας αυτής και στις οποίες περιλαμβάνεται, όσον αφορά τη Βουλγαρία, η OOD.
15 Σύμφωνα με τον πίνακα αντιστοιχίας του παραρτήματος IV της οδηγίας 2017/1132, αφενός, τα άρθρα 2, 2α, 3, 4 και 7α της οδηγίας 2009/101 αντιστοιχούν στα άρθρα 14, 15, 16, 21 και 161 της οδηγίας 2017/1132. Αφετέρου, το άρθρο 3 της οδηγίας 2012/30 αντιστοιχεί στο άρθρο 4 της οδηγίας 2017/1132.
Η οδηγία (ΕΕ) 2019/1151
16 Η οδηγία 2017/1132 τροποποιήθηκε, μεταξύ άλλων, με την οδηγία (ΕΕ) 2019/1151 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 20ής Ιουνίου 2019, για την τροποποίηση της οδηγίας (ΕΕ) 2017/1132 όσον αφορά τη χρήση ψηφιακών εργαλείων και διαδικασιών στον τομέα του εταιρικού δικαίου (ΕΕ 2019, L 186, σ. 80), η οποία τέθηκε σε ισχύ στις 31 Ιουλίου 2019 και ορίζει στο άρθρο της 1, που τιτλοφορείται «Τροποποιήσεις της οδηγίας [2017/1132]», τα εξής:
«Η οδηγία [2017/1132] τροποποιείται ως εξής:
[…]
6) Το άρθρο 16 αντικαθίσταται από το ακόλουθο κείμενο:
“Άρθρο 16
Δημοσιοποίηση στο μητρώο
1. Σε κάθε κράτος μέλος ανοίγεται φάκελος σε κεντρικό μητρώο ή εμπορικό μητρώο ή σε μητρώο εταιρειών (“το μητρώο”) για κάθε καταχωριζόμενη σ’ αυτό εταιρεία.
[…]
2. Όλες οι πράξεις και τα στοιχεία που υπόκεινται σε δημοσιοποίηση σύμφωνα με το άρθρο 14 τηρούνται στον φάκελο της παραγράφου 1 του παρόντος άρθρου ή εισάγονται απευθείας στο μητρώο και το αντικείμενο των εγγραφών στο μητρώο καταγράφεται στον φάκελο.
Όλες οι πράξεις και τα στοιχεία που αναφέρονται στο άρθρο 14, ανεξαρτήτως του τρόπου υποβολής τους, τηρούνται στον φάκελο του μητρώου ή καταχωρίζονται απευθείας σ’ αυτό σε ηλεκτρονική μορφή. Τα κράτη μέλη μεριμνούν για την ταχύτερη δυνατή μετατροπή σε ηλεκτρονική μορφή από το μητρώο όλων των εν λόγω πράξεων και στοιχείων που κατατίθενται σε έντυπη μορφή.
[…]
3. Τα κράτη μέλη διασφαλίζουν ότι η δημοσιοποίηση των πράξεων και των στοιχείων του άρθρου 14 πραγματοποιείται καθισταμένων των εν λόγω πράξεων και στοιχείων διαθέσιμων για το κοινό στο μητρώο. Επιπλέον, τα κράτη μέλη μπορούν επίσης να απαιτούν τη δημοσίευση μέρους ή όλων των εν λόγω πράξεων και στοιχείων σε εθνική επίσημη εφημερίδα ειδικά οριζόμενη για τον σκοπό αυτό ή με άλλα, εξίσου αποτελεσματικά μέσα. […]
4. Τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για την αποφυγή κάθε ασυμφωνίας μεταξύ του μητρώου και του φακέλου.
Τα κράτη μέλη που απαιτούν τη δημοσίευση πράξεων και στοιχείων σε εθνική επίσημη εφημερίδα ή σε κεντρική ηλεκτρονική πλατφόρμα λαμβάνουν τα αναγκαία μέτρα για να αποφεύγεται οποιαδήποτε ασυμφωνία μεταξύ των στοιχείων που δημοσιοποιούνται σύμφωνα με την παράγραφο 3 και των στοιχείων που δημοσιεύονται στην επίσημη εφημερίδα ή στην πλατφόρμα.
Σε περίπτωση ασυμφωνίας βάσει του παρόντος άρθρου, υπερισχύουν οι πράξεις και τα στοιχεία που διατίθενται στο μητρώο.
5. Οι πράξεις και τα στοιχεία που αναφέρονται στο άρθρο 14 αντιτάσσονται κατά τρίτων από την εταιρεία μόνον εφόσον έχουν δημοσιοποιηθεί σύμφωνα με την παράγραφο 3 του παρόντος άρθρου, εκτός αν η εταιρεία αποδείξει ότι οι τρίτοι είχαν γνώση αυτών.
[…]
6. Τα κράτη μέλη διασφαλίζουν ότι όλες οι πράξεις και τα στοιχεία που υποβάλλονται ως μέρος της σύστασης εταιρείας, της καταχώρισης υποκαταστήματος ή της υποβολής στοιχείων από εταιρεία ή υποκατάστημα αποθηκεύονται από τα μητρώα σε μηχαναγνώσιμο μορφότυπο με δυνατότητα αναζήτησης ή ως δομημένα δεδομένα.”
7) Προστίθεται το ακόλουθο άρθρο:
“Άρθρο 16α
Πρόσβαση σε δημοσιοποιημένα στοιχεία
1. Τα κράτη μέλη διασφαλίζουν ότι αντίγραφα όλων ή οποιουδήποτε μέρους των πράξεων και των στοιχείων του άρθρου 14 μπορούν να ληφθούν από το μητρώο κατόπιν αίτησης […].
[…]”
19) Το άρθρο 161 αντικαθίσταται από το ακόλουθο κείμενο:
“Άρθρο 161
Προστασία δεδομένων
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται στο πλαίσιο της παρούσας οδηγίας υπόκειται στον [ΓΚΠΔ].”»
17 Το άρθρο 2 της οδηγίας 2019/1151 φέρει τον τίτλο «Μεταφορά στο εθνικό δίκαιο» και ορίζει τα εξής:
«1. Τα κράτη μέλη θέτουν σε ισχύ τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με την παρούσα τροποποιητική οδηγία το αργότερο την 1η Αυγούστου 2021. […]
2. Κατά παρέκκλιση από την παράγραφο 1 του παρόντος άρθρου, τα κράτη μέλη θέτουν σε ισχύ τις αναγκαίες νομοθετικές, κανονιστικές και διοικητικές διατάξεις για να συμμορφωθούν με το […] άρθρο 1 σημείο 6) της παρούσας οδηγίας, σύμφωνα με το άρθρο 16 παράγραφος 6 της οδηγίας [2017/1132], το αργότερο έως την 1η Αυγούστου 2023.
3. Κατά παρέκκλιση από την παράγραφο 1, τα κράτη μέλη που αντιμετωπίζουν ιδιαίτερες δυσκολίες κατά τη μεταφορά της παρούσας οδηγίας στο εθνικό δίκαιο δικαιούνται να λάβουν κατ’ ανώτατο όριο ετήσια παράταση της περιόδου που προβλέπεται στην παράγραφο 1. […]
[…]»
Ο ΓΚΠΔ
18 Οι αιτιολογικές σκέψεις 26, 32, 40, 42, 43, 50, 85, 143 και 146 του ΓΚΠΔ έχουν ως εξής:
«(26) Οι αρχές της προστασίας δεδομένων θα πρέπει να εφαρμόζονται σε κάθε πληροφορία η οποία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο […]. Για να κριθεί κατά πόσον ένα φυσικό πρόσωπο είναι ταυτοποιήσιμο, θα πρέπει να λαμβάνονται υπόψη όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου. […]
[…]
(32) Η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια η οποία να συνιστά ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει ένδειξη της συμφωνίας του υποκειμένου των δεδομένων υπέρ της επεξεργασίας των δεδομένων που το αφορούν, για παράδειγμα με γραπτή δήλωση, μεταξύ άλλων με ηλεκτρονικά μέσα, ή με προφορική δήλωση. […] Η συγκατάθεση θα πρέπει να καλύπτει το σύνολο των δραστηριοτήτων επεξεργασίας που διενεργείται για τον ίδιο σκοπό ή για τους ίδιους σκοπούς. Όταν η επεξεργασία έχει πολλαπλούς σκοπούς, θα πρέπει να δίνεται συγκατάθεση για όλους αυτούς τους σκοπούς. […]
[…]
(40) Για να είναι η επεξεργασία σύννομη, τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία με βάση τη συγκατάθεση του ενδιαφερόμενου υποκειμένου των δεδομένων ή με άλλη βάση, προβλεπόμενη από τον νόμο, είτε στον παρόντα κανονισμό είτε σε άλλη νομοθεσία της Ένωσης ή κράτους μέλους όπως αναφέρεται στον παρόντα κανονισμό, περιλαμβανομένης της ανάγκης συμμόρφωσης προς την εκ του νόμου υποχρέωση στην οποία υπόκειται ο υπεύθυνος επεξεργασίας ή της ανάγκης να εκτελεστεί σύμβαση στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος ή για να ληφθούν μέτρα κατόπιν αίτησης του υποκειμένου των δεδομένων πριν από τη σύναψη σύμβασης.
[…]
(42) Όταν η επεξεργασία βασίζεται στη συναίνεση του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να είναι σε θέση να αποδείξει ότι το υποκείμενο των δεδομένων συγκατατέθηκε στη πράξη επεξεργασίας. […] Η συγκατάθεση δεν θα πρέπει να θεωρείται ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν έχει αληθινή ή ελεύθερη επιλογή ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί.
(43) Για να διασφαλιστεί ότι η συγκατάθεση έχει δοθεί ελεύθερα, η συγκατάθεση δεν θα πρέπει να παρέχει έγκυρη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση, όταν υπάρχει σαφής ανισότητα μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως στις περιπτώσεις που ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή και είναι επομένως σχεδόν απίθανο να έχει δοθεί η συγκατάθεση ελεύθερα σε όλες τις περιστάσεις αυτής της ειδικής κατάστασης. Η συγκατάθεση θεωρείται ότι δεν έχει παρασχεθεί ελεύθερα, εάν δεν επιτρέπεται να δοθεί χωριστή συγκατάθεση σε διαφορετικές πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ακόμη και αν ενδείκνυται στη συγκεκριμένη περίπτωση […].
[…]
(50) Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς άλλους από εκείνους για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά θα πρέπει να επιτρέπεται μόνο εφόσον η επεξεργασία είναι συμβατή με τους σκοπούς για τους οποίους τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν αρχικά. Σε αυτήν την περίπτωση, δεν απαιτείται νομική βάση χωριστή από εκείνη που επέτρεψε τη συλλογή των δεδομένων προσωπικού χαρακτήρα. […]
[…]
(85) Η παραβίαση δεδομένων προσωπικού χαρακτήρα μπορεί, εάν δεν αντιμετωπιστεί κατάλληλα και έγκαιρα, να έχει ως αποτέλεσμα σωματική, υλική ή μη υλική βλάβη για φυσικά πρόσωπα, όπως απώλεια του ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα ή ο περιορισμός των δικαιωμάτων τους, διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, παράνομη άρση της ψευδωνυμοποίησης, βλάβη της φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο ή άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα για το ενδιαφερόμενο φυσικό πρόσωπο. […]
[…]
(143) [Κ]άθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής προσφυγής ενώπιον του αρμόδιου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που αφορούν το εν λόγω πρόσωπο. Οι αποφάσεις αυτές αφορούν ειδικότερα την άσκηση των εξουσιών έρευνας και των διορθωτικών και αδειοδοτικών εξουσιών από την εποπτική αρχή ή τις περιπτώσεις στις οποίες οι καταγγελίες κρίνονται απαράδεκτες ή απορρίπτονται. Ωστόσο, το δικαίωμα πραγματικής προσφυγής δεν καλύπτει μέτρα εποπτικών αρχών που δεν είναι νομικώς δεσμευτικά, όπως οι γνωμοδοτήσεις ή οι συμβουλές που παρέχονται από την εποπτική αρχή. […]
[…]
(146) […] Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία θα πρέπει να απαλλάσσονται από την υποχρέωση αποζημίωσης εάν αποδείξουν ότι δεν φέρουν καμία ευθύνη για τη ζημία. Η έννοια της ζημίας θα πρέπει να ερμηνεύεται διασταλτικά με γνώμονα τη νομολογία του Δικαστηρίου κατά τρόπον ώστε να λαμβάνονται πλήρως υπόψη οι στόχοι του παρόντος κανονισμού. […] Τα υποκείμενα των δεδομένων θα πρέπει να λαμβάνουν πλήρη και ουσιαστική αποζημίωση για τη ζημία που υπέστησαν. […]»
19 Το άρθρο 4 του ΓΚΠΔ επιγράφεται «Ορισμοί» και προβλέπει τα εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου,
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[…]
7) “υπεύθυνος επεξεργασίας”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας που, μόνα ή από κοινού με άλλα, καθορίζουν τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα· όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον διορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους,
[…]
9) “αποδέκτης”: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το δίκαιο της Ένωσης ή κράτους μέλους δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας των δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας,
[…]
11) “συγκατάθεση”: του υποκειμένου των δεδομένων: κάθε ένδειξη βουλήσεως, ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει, με την οποία το υποκείμενο των δεδομένων εκδηλώνει ότι συμφωνεί, με δήλωση ή με σαφή θετική ενέργεια, να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν,
[…]».
20 Το άρθρο 5 του ΓΚΠΔ τιτλοφορείται «Αρχές που διέπουν την επεξεργασία δεδομένων προσωπικού χαρακτήρα» και ορίζει τα εξής:
«1. Τα δεδομένα προσωπικού χαρακτήρα:
[…]
β) συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς και δεν υποβάλλονται σε περαιτέρω επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς […] (“περιορισμός του σκοπού”),
γ) είναι κατάλληλα, συναφή και περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία (“ελαχιστοποίηση των δεδομένων”),
[…]
2. Ο υπεύθυνος επεξεργασίας φέρει την ευθύνη και είναι σε θέση να αποδείξει τη συμμόρφωση με την παράγραφο 1 (“λογοδοσία”).»
21 Το άρθρο 6 του ΓΚΠΔ φέρει τον τίτλο «Νομιμότητα της επεξεργασίας» και έχει ως εξής:
«1. Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
α) το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα του για έναν ή περισσότερους συγκεκριμένους σκοπούς,
[…]
γ) η επεξεργασία είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
[…]
ε) η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας,
[…]
3. Η βάση για την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχεία γ) και ε) ορίζεται σύμφωνα με:
α) το δίκαιο της Ένωσης, ή
β) το δίκαιο του κράτους μέλος στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας.
Ο σκοπός της επεξεργασίας καθορίζεται στην εν λόγω νομική βάση ή, όσον αφορά την επεξεργασία που αναφέρεται στην παράγραφο 1 στοιχείο ε), είναι η αναγκαιότητα της επεξεργασίας για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας. Η εν λόγω νομική βάση μπορεί να περιλαμβάνει ειδικές διατάξεις για την προσαρμογή της εφαρμογής των κανόνων του παρόντος κανονισμού, μεταξύ άλλων: τις γενικές προϋποθέσεις που διέπουν τη σύννομη επεξεργασία από τον υπεύθυνο επεξεργασίας· τα είδη των δεδομένων που υποβάλλονται σε επεξεργασία· τα οικεία υποκείμενα των δεδομένων· τις οντότητες στις οποίες μπορούν να κοινοποιούνται τα δεδομένα προσωπικού χαρακτήρα και τους σκοπούς αυτής της κοινοποίησης· τον περιορισμό του σκοπού· τις περιόδους αποθήκευσης· και τις πράξεις επεξεργασίας και τις διαδικασίες επεξεργασίας, συμπεριλαμβανομένων των μέτρων για τη διασφάλιση σύννομης και θεμιτής επεξεργασίας, όπως εκείνα για άλλες ειδικές περιπτώσεις επεξεργασίας όπως προβλέπονται στο κεφάλαιο ΙΧ. Το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους ανταποκρίνεται σε σκοπό δημόσιου συμφέροντος και είναι ανάλογο προς τον επιδιωκόμενο νόμιμο σκοπό.
[…]»
22 Το άρθρο 17 του ΓΚΠΔ επιγράφεται «Δικαίωμα διαγραφής (“δικαίωμα στη λήθη”)» και προβλέπει τα εξής:
«1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση και ο υπεύθυνος επεξεργασίας υποχρεούται να διαγράψει δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση, εάν ισχύει ένας από τους ακόλουθους λόγους:
α) τα δεδομένα προσωπικού χαρακτήρα δεν είναι πλέον απαραίτητα σε σχέση με τους σκοπούς για τους οποίους συλλέχθηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία,
β) το υποκείμενο των δεδομένων ανακαλεί τη συγκατάθεση επί της οποίας βασίζεται η επεξεργασία σύμφωνα με το άρθρο 6 παράγραφος 1 στοιχείο α) ή το άρθρο 9 παράγραφος 2 στοιχείο α) και δεν υπάρχει άλλη νομική βάση για την επεξεργασία,
γ) το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 1 και δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία ή το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία σύμφωνα με το άρθρο 21 παράγραφος 2,
δ) τα δεδομένα προσωπικού χαρακτήρα υποβλήθηκαν σε επεξεργασία παράνομα,
[…]
3. Οι παράγραφοι 1 και 2 δεν εφαρμόζονται στον βαθμό που η επεξεργασία είναι απαραίτητη:
[…]
β) για την τήρηση νομικής υποχρέωσης που επιβάλλει την επεξεργασία βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους στο οποίο υπάγεται ο υπεύθυνος επεξεργασίας ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας,
[…]».
23 Το άρθρο 21, παράγραφος 1, του ΓΚΠΔ έχει ως εξής:
«Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παράγραφος 1 στοιχείο ε) ή στ), περιλαμβανομένης της κατάρτισης προφίλ βάσει των εν λόγω διατάξεων. Ο υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.»
24 Το άρθρο 58 του ΓΚΠΔ ορίζει τα εξής:
«1. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες εξουσίες έρευνας:
[…]
2. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες διορθωτικές εξουσίες:
[…]
3. Κάθε αρχή ελέγχου διαθέτει όλες τις ακόλουθες αδειοδοτικές και συμβουλευτικές εξουσίες:
[…]
β) να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση του κράτους μέλους ή, σύμφωνα με το δίκαιο του κράτους μέλους, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα,
[…]
4. Η άσκηση εκ μέρους εποπτικής αρχής των εξουσιών της δυνάμει του παρόντος άρθρου υπόκειται στις δέουσες εγγυήσεις, περιλαμβανομένης της άσκησης πραγματικής δικαστικής προσφυγής και της τήρησης της προσήκουσας διαδικασίας, όπως προβλέπονται στο δίκαιο της Ένωσης και το δίκαιο των κρατών μελών σύμφωνα με τον [Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης)].
5. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η οικεία εποπτική αρχή έχει την εξουσία να γνωστοποιεί στις δικαστικές αρχές τις παραβιάσεις του παρόντος κανονισμού και, κατά περίπτωση, να κινεί ή να μετέχει κατ’ άλλο τρόπο σε νομικές διαδικασίες, ώστε να επιβάλει τις διατάξεις του παρόντος κανονισμού.
6. Κάθε κράτος μέλος προβλέπει διά νόμου ότι η εποπτική αρχή του έχει πρόσθετες εξουσίες πέραν εκείνων που αναφέρονται στις παραγράφους 1, 2 και 3. Η άσκηση των εν λόγω εξουσιών δεν θίγει την αποτελεσματική λειτουργία του κεφαλαίου VII.»
25 Το άρθρο 82 του ΓΚΠΔ επιγράφεται «Δικαίωμα αποζημίωσης και ευθύνη» και έχει ως εξής:
«1. Κάθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του παρόντος κανονισμού δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη.
2. Κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία που προκάλεσε η εκ μέρους του επεξεργασία που παραβαίνει τον παρόντα κανονισμό. Ο εκτελών την επεξεργασία ευθύνεται για τη ζημία που προκάλεσε η επεξεργασία μόνο εφόσον δεν ανταποκρίθηκε στις υποχρεώσεις του παρόντος κανονισμού που αφορούν ειδικότερα τους εκτελούντες την επεξεργασία ή υπερέβη ή ενήργησε αντίθετα προς τις νόμιμες εντολές του υπευθύνου επεξεργασίας.
3. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία απαλλάσσεται από την ευθύνη που έχουν δυνάμει της παραγράφου 2, εάν αποδεικνύει ότι δεν φέρει καμία ευθύνη για το γενεσιουργό γεγονός της ζημίας.
[…]»
26 Το άρθρο 94 του ΓΚΠΔ προβλέπει τα εξής:
«1. Η οδηγία [95/46] καταργείται από τις 25 Μαΐου 2018.
2. Οι παραπομπές στην καταργούμενη οδηγία θεωρούνται παραπομπές στον παρόντα κανονισμό. […]»
Το βουλγαρικό δίκαιο
Ο νόμος περί μητρώων
27 Το άρθρο 2 του Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (νόμου περί εμπορικού μητρώου και περί μητρώου νομικών προσώπων μη κερδοσκοπικού χαρακτήρα) (DV αριθ. 34, της 25ης Απριλίου 2006), όπως ίσχυε κατά τον κρίσιμο χρόνο για τη διαφορά της κύριας δίκης (στο εξής: νόμος περί μητρώων), ορίζει τα εξής:
«(1) Το εμπορικό μητρώο και το μητρώο νομικών προσώπων μη κερδοσκοπικού χαρακτήρα αποτελούν μία κοινή ηλεκτρονική βάση δεδομένων η οποία περιλαμβάνει τα στοιχεία που καταχωρίζονται βάσει νόμου καθώς και τις πράξεις οι οποίες είναι προσβάσιμες στο κοινό βάσει νόμου και αφορούν τους εμπόρους και τα υποκαταστήματα αλλοδαπών εμπόρων, τα νομικά πρόσωπα μη κερδοσκοπικού χαρακτήρα και τα υποκαταστήματα αλλοδαπών νομικών προσώπων μη κερδοσκοπικού χαρακτήρα.
(2) Τα στοιχεία και οι πράξεις που μνημονεύονται στην παράγραφο 1 διατίθενται στο κοινό χωρίς τις πληροφορίες οι οποίες συνιστούν δεδομένα προσωπικού χαρακτήρα κατά την έννοια του άρθρου 4, παράγραφος 1, του [ΓΚΠΔ], με εξαίρεση τις πληροφορίες που πρέπει να είναι προσβάσιμες στο κοινό βάσει νόμου.»
28 Το άρθρο 3 του νόμου περί μητρώων προβλέπει τα εξής:
«Το εμπορικό μητρώο και το μητρώο νομικών προσώπων μη κερδοσκοπικού χαρακτήρα τηρούνται από την [Υπηρεσία], η οποία υπάγεται στο Ministar na pravosadieto [Υπουργείο Δικαιοσύνης, Βουλγαρία].»
29 Κατά το άρθρο 6, παράγραφος 1, του νόμου περί μητρώων:
«Κάθε έμπορος και κάθε νομικό πρόσωπο μη κερδοσκοπικού χαρακτήρα οφείλει να υποβάλει αίτηση καταχώρισης στο εμπορικό μητρώο και στο μητρώο νομικών προσώπων μη κερδοσκοπικού χαρακτήρα αντίστοιχα, δηλώνοντας τα στοιχεία των οποίων απαιτείται η καταχώριση και προσκομίζοντας τις πράξεις που πρέπει να είναι προσβάσιμες στο κοινό.»
30 Το άρθρο 11 του νόμου περί μητρώων έχει ως εξής:
«(1) Το εμπορικό μητρώο και το μητρώο νομικών προσώπων μη κερδοσκοπικού χαρακτήρα είναι δημόσια. Καθένας έχει δικαίωμα ελεύθερης και δωρεάν πρόσβασης στη βάση δεδομένων την οποία συγκροτούν τα μητρώα.
(2) Η [Υπηρεσία] παρέχει και καταγράφει την πρόσβαση στον φάκελο του εμπόρου ή του νομικού προσώπου μη κερδοσκοπικού χαρακτήρα.»
31 Το άρθρο 13, παράγραφοι 1, 2, 6 και 9, του νόμου περί μητρώων ορίζει τα εξής:
«(1) Για την καταχώριση, τη διαγραφή και την παροχή πρόσβασης στο κοινό υποβάλλεται έντυπο αιτήσεως.
(2) Η αίτηση περιλαμβάνει:
1. τα στοιχεία επικοινωνίας του αιτούντος·
[…]
3. το στοιχείο που υπόκειται σε καταχώριση, την καταχώριση της οποίας ζητείται η διαγραφή ή την πράξη που πρέπει να είναι προσβάσιμη στο κοινό·
(6) [Η] αίτηση συνοδεύεται από τα έγγραφα ή, κατά περίπτωση, από την πράξη που πρέπει να είναι προσβάσιμη στο κοινό, σύμφωνα με τις απαιτήσεις του νόμου. Τα έγγραφα προσκομίζονται σε πρωτότυπο, αντίγραφο που έχει επικυρωθεί με μέριμνα του αιτούντος ή αντίγραφο επικυρωμένο από συμβολαιογράφο. Ο αιτών προσκομίζει επίσης επικυρωμένα αντίγραφα των πράξεων που πρέπει να είναι προσβάσιμες για το κοινό στο εμπορικό μητρώο, από τα οποία έχουν απαλειφθεί τα δεδομένα προσωπικού χαρακτήρα πέραν των απαιτούμενων εκ του νόμου.
[…]
(9) Όταν η αίτηση ή τα συνημμένα έγγραφα αναφέρουν δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι απαιτούμενα εκ του νόμου, τα πρόσωπα που τα προσκόμισαν τεκμαίρεται ότι έχουν συγκατατεθεί στην επεξεργασία τους από την [Yπηρεσία] και στη διάθεσή τους στο κοινό.
[…]»
Ο εμπορικός νόμος
32 Το άρθρο 101, σημείο 3, του Targovski zakon (εμπορικού νόμου) (DV αριθ. 48, της 18ης Ιουνίου 1991), όπως ίσχυε κατά τον κρίσιμο χρόνο για τη διαφορά της κύριας δίκης (στο εξής: εμπορικός νόμος), ορίζει ότι η εταιρική σύμβαση πρέπει να περιλαμβάνει «το ονοματεπώνυμο, την εταιρική επωνυμία και τον μοναδικό κωδικό αναγνώρισης των εταίρων».
33 Κατά το άρθρο 119 του εμπορικού νόμου:
«(1) Για την καταχώριση της εταιρίας στο εμπορικό μητρώο απαιτείται:
1. προσκόμιση της εταιρικής σύμβασης, η οποία καθίσταται προσβάσιμη στο κοινό·
[…]
(2) Τα δεδομένα στα οποία αναφέρεται το σημείο 1 […] καταχωρίζονται στο μητρώο […]
[…]
(4) Για την τροποποίηση ή συμπλήρωση της εταιρικής σύμβασης στο εμπορικό μητρώο, προσκομίζεται, προκειμένου να είναι προσβάσιμο στο κοινό, αντίγραφό της με όλες τις τροποποιήσεις και όλες τις προσθήκες, επικυρωμένο με μέριμνα του οργάνου που εκπροσωπεί την εταιρία.»
Η υπουργική απόφαση αριθ. 1 για την τήρηση και τη φύλαξη των στοιχείων στο εμπορικό μητρώο και στο μητρώο νομικών προσώπων μη κερδοσκοπικού χαρακτήρα καθώς και για την παροχή πρόσβασης σε αυτά
34 Το άρθρο 6 της Naredba n° 1 ot 14 fevruari 2007 za vodene, sahranyavane i dostap do targovskia registar i do registara na ydiuricheskite litsa s nestopanska tsel (υπουργικής αποφάσεως αριθ. 1 για την τήρηση και τη φύλαξη των στοιχείων στο εμπορικό μητρώο και στο μητρώο νομικών προσώπων μη κερδοσκοπικού χαρακτήρα καθώς και για την παροχή πρόσβασης σε αυτά) (DV αριθ. 18, της 27ης Φεβρουαρίου 2007) του Ministar na pravosadieto (Υπουργείου Δικαιοσύνης), όπως ίσχυε κατά τον κρίσιμο χρόνο για τη διαφορά της κύριας δίκης, προβλέπει τα εξής:
«Για την καταχώριση στο εμπορικό μητρώο και στο μητρώο νομικών προσώπων μη κερδοσκοπικού χαρακτήρα, καθώς και για τη διαγραφή από αυτά, υποβάλλεται έντυπο αιτήσεως σύμφωνα με τα παραρτήματα [που περιέχουν τα ειδικά έντυπα]. Για την παροχή πρόσβασης στις πράξεις που έχουν καταχωριστεί στο εμπορικό μητρώο και στο μητρώο νομικών προσώπων μη κερδοσκοπικού χαρακτήρα, υποβάλλεται έντυπο αιτήσεως σύμφωνα με τα παραρτήματα [που περιέχουν τα ειδικά έντυπα].»
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
35 Η OL είναι εταίρος της «Praven Shtit Konsulting» OOD, συσταθείσας κατά το βουλγαρικό δίκαιο εταιρίας περιορισμένης ευθύνης, η οποία καταχωρίστηκε στο εμπορικό μητρώο στις 14 Ιανουαρίου 2021, κατόπιν προσκόμισης εταιρικής σύμβασης χρονολογημένης από 30 Δεκεμβρίου 2020 και υπογεγραμμένης από τους εταίρους (στο εξής: επίδικη εταιρική σύμβαση).
36 Η σύμβαση αυτή, η οποία περιελάμβανε το ονοματεπώνυμο, τον αριθμό μητρώου, τον αριθμό δελτίου ταυτότητας, την ημερομηνία και τον τόπο έκδοσης της ταυτότητας, τη διεύθυνση και την υπογραφή της OL, κατέστη, υπό τη μορφή που είχε προσκομιστεί, προσβάσιμη στο κοινό από την Υπηρεσία.
37 Στις 8 Ιουλίου 2021 η OL ζήτησε από την Υπηρεσία τη διαγραφή των δεδομένων προσωπικού χαρακτήρα τα οποία την αφορούσαν και περιέχονταν στην εταιρική σύμβαση, διευκρινίζοντας ότι, αν η επεξεργασία των δεδομένων αυτών βασιζόταν στη συγκατάθεσή της, τότε την ανακαλούσε.
38 Ελλείψει απαντήσεως εκ μέρους της Υπηρεσίας, η OL προσέφυγε ενώπιον του Administrativen sad Dobrich (διοικητικού πρωτοδικείου Dobrich, Βουλγαρία), το οποίο, με απόφαση της 8ης Δεκεμβρίου 2021, ακύρωσε τη σιωπηρή απορριπτική απόφαση της Υπηρεσίας επί της αιτήσεως διαγραφής και ανέπεμψε την υπόθεση ενώπιόν της προκειμένου να εκδώσει νέα απόφαση.
39 Σε εκτέλεση της δικαστικής αυτής αποφάσεως, και μιας παρόμοιας αποφάσεως σχετικής με τον άλλο εταίρο που προέβη στην ίδια ενέργεια, η Υπηρεσία ενημέρωσε, με έγγραφο της 26ης Ιανουαρίου 2022, ότι, προκειμένου να γίνει δεκτή η αίτηση της OL για διαγραφή των προσωπικών της δεδομένων, έπρεπε να της αποσταλεί επικυρωμένο αντίγραφο της επίδικης εταιρικής σύμβασης, στο οποίο να έχουν απαλειφθεί τα δεδομένα προσωπικού χαρακτήρα των εταίρων, με εξαίρεση τα δεδομένα που είναι απαιτούμενα εκ του νόμου.
40 Στις 31 Ιανουαρίου 2022 η OL προσέφυγε εκ νέου ενώπιον του Administrativen sad Dobrich (διοικητικού πρωτοδικείου Dobrich) ζητώντας να ακυρωθεί το ενημερωτικό έγγραφο και να υποχρεωθεί η Υπηρεσία να της καταβάλει χρηματική ικανοποίηση για ηθική βλάβη που υπέστη εξαιτίας του εγγράφου αυτού, το οποίο προσέβαλλε τα δικαιώματα που παρέχονται από τον ΓΚΠΔ.
41 Την 1η Φεβρουαρίου 2022, πριν της κοινοποιηθεί η εν λόγω προσφυγή-αγωγή, η Υπηρεσία διέγραψε αυτεπαγγέλτως τον αριθμό μητρώου, τα δεδομένα σχετικά με το δελτίο ταυτότητας και τη διεύθυνση της OL, όχι όμως το επώνυμο, το όνομα και την υπογραφή της.
42 Με απόφαση της 5ης Μαΐου 2022, το Administrativen sad Dobrich (διοικητικό πρωτοδικείο Dobrich) ακύρωσε το ενημερωτικό έγγραφο της 26ης Ιανουαρίου 2022 και υποχρέωσε την Υπηρεσία να καταβάλει στην OL ποσό ύψους 500 βουλγαρικών λεβ (BGN) (περίπου 255 ευρώ), πλέον των νομίμων τόκων, προς αποκατάσταση «μη υλικής ζημίας» κατά την έννοια του άρθρου 82 του ΓΚΠΔ. Σύμφωνα με την ως άνω δικαστική απόφαση, η μη υλική ζημία, αφενός, συνίστατο στις αρνητικές ψυχολογικές και συναισθηματικές εμπειρίες που βίωσε η OL, ήτοι φόβο και ανησυχία για τυχόν επιθετικές συμπεριφορές εις βάρος της, καθώς και αίσθημα ανημπόριας και απογοήτευση λόγω της αδυναμίας της να προστατεύσει τα προσωπικά της δεδομένα. Αφετέρου, οφειλόταν στο επίμαχο έγγραφο, δεδομένου ότι εξ αυτού στοιχειοθετούνταν προσβολή του κατοχυρωμένου στο άρθρο 17, παράγραφος 1, του ΓΚΠΔ δικαιώματος διαγραφής και παράνομη επεξεργασία των προσωπικών δεδομένων που περιέχονταν στην επίδικη εταιρική σύμβαση η οποία είχε καταστεί προσβάσιμη στο κοινό.
43 Το αιτούν δικαστήριο, δηλαδή το Varhoven administrativen sad (Ανώτατο Διοικητικό Δικαστήριο, Βουλγαρία), επιλήφθηκε της αναιρέσεως την οποία άσκησε η Υπηρεσία κατά της πρωτόδικης αποφάσεως.
44 Κατά το αιτούν δικαστήριο, η Υπηρεσία ισχυρίζεται ότι δεν είναι μόνον υπεύθυνη επεξεργασίας αλλά και αποδέκτης των δεδομένων προσωπικού χαρακτήρα τα οποία κοινοποιήθηκαν στο πλαίσιο της διαδικασίας καταχώρισης της «Praven Shtit Konsulting». Επιπλέον, η Υπηρεσία δεν έλαβε, παρότι το είχε ζητήσει πριν από την καταχώριση της εταιρίας στο εμπορικό μητρώο, αντίγραφο της επίδικης εταιρικής σύμβασης από το οποίο να έχουν απαλειφθεί τα προσωπικά της OL που δεν έπρεπε να καταστούν προσβάσιμα στο κοινό. Αυτή και μόνον όμως η έλλειψη τέτοιου αντιγράφου δεν είναι δυνατόν να σταθεί εμπόδιο στην καταχώριση εταιρίας στο εμπορικό μητρώο. Τούτο προκύπτει από τη γνώμη αριθ. 01‑116(20)/01.02.2021 της εθνικής εποπτικής αρχής, της Komisia za zashtita na lichnite danni (Επιτροπής προστασίας δεδομένων προσωπικού χαρακτήρα, Βουλγαρία), η οποία εκδόθηκε δυνάμει του άρθρου 58, παράγραφος 3, στοιχείο βʹ, του ΓΚΠΔ και στην οποία παραπέμπει η Υπηρεσία. Το αιτούν δικαστήριο επισημαίνει ότι, κατά την άποψη της OL, η Υπηρεσία, ως υπεύθυνη επεξεργασίας, δεν είναι δυνατόν να επιβάλει σε άλλα πρόσωπα τις δικές της υποχρεώσεις διαγραφής δεδομένων προσωπικού χαρακτήρα, εφόσον υπάρχει μάλιστα εθνική νομολογία σύμφωνα με την οποία η γνώμη αριθ. 01‑116(20) δεν συνάδει με τις διατάξεις του ΓΚΠΔ.
45 Το αιτούν δικαστήριο προσθέτει ότι, λαμβανομένης υπόψη της κρατούσας αυτής εθνικής νομολογίας, παρίσταται αναγκαία η αποσαφήνιση των απαιτήσεων του ΓΚΠΔ. Πιο συγκεκριμένα, το αιτούν δικαστήριο διερωτάται πώς μπορεί να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με τη νομοθεσία η οποία κατοχυρώνει τη δημοσιότητα και την πρόσβαση σε ορισμένες πράξεις των εταιριών, διευκρινίζοντας ειδικότερα ότι η απόφαση της 9ης Μαρτίου 2017, Manni (C‑398/15, EU:C:2017:197), δεν καθιστά δυνατή την επίλυση των ερμηνευτικών δυσχερειών που ανακύπτουν στην περίπτωση της υποθέσεως της κύριας δίκης.
46 Υπό τις συνθήκες αυτές, το Varhoven administrativen sad (Ανώτατο Διοικητικό Δικαστήριο) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1. Έχει το άρθρο 4, παράγραφος 2, της οδηγίας [2009/101] την έννοια ότι τα κράτη μέλη οφείλουν να επιτρέπουν τη δημοσιοποίηση εταιρικής σύμβασης η οποία, σύμφωνα με το άρθρο 119 [του εμπορικού νόμου], υπόκειται σε καταχώριση, όταν η εν λόγω σύμβαση περιλαμβάνει, πέραν των ονομάτων των εταίρων που υπόκεινται σε υποχρεωτική γνωστοποίηση σύμφωνα με το άρθρο 2, παράγραφος 2, του [νόμου περί μητρώων] και άλλα δεδομένα προσωπικού χαρακτήρα; Στο πλαίσιο της απαντήσεως στο εν λόγω ερώτημα πρέπει να ληφθεί υπόψη ότι η [Υπηρεσία] αποτελεί οργανισμό του δημοσίου τομέα έναντι του οποίου, κατά την πάγια νομολογία του Δικαστηρίου, είναι δυνατή η επίκληση των διατάξεων της οδηγίας που έχουν άμεσο αποτέλεσμα (απόφαση της 7ης Σεπτεμβρίου 2006, Vassallo, С‑180/04, EU:C:2006:518, σκέψη 26 και εκεί μνημονευόμενη νομολογία).
2. Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα, μπορεί να θεωρηθεί ότι, υπό τις περιστάσεις της διαφοράς της κύριας δίκης, η επεξεργασία δεδομένων προσωπικού χαρακτήρα από την [Υπηρεσία] είναι απαραίτητη, κατά την έννοια του άρθρου 6, παράγραφος 1, στοιχείο εʹ, του [ΓΚΠΔ], για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας;
3. Σε περίπτωση καταφατικής απαντήσεως σε αμφότερα τα ανωτέρω ερωτήματα, μπορεί να θεωρηθεί ότι επιτρέπεται εθνική ρύθμιση, όπως αυτή του άρθρου 13, παράγραφος 9, του [νόμου περί μητρώων], σύμφωνα με την οποία, σε περίπτωση κατά την οποία σε αίτηση ή στα έγγραφα που συνοδεύουν την εν λόγω αίτηση περιλαμβάνονται δεδομένα προσωπικού χαρακτήρα, τα οποία δεν απαιτούνται εκ του νόμου, πρέπει να θεωρηθεί ότι τα πρόσωπα που τα έχουν διαθέσει έχουν συγκατατεθεί στην επεξεργασία των δεδομένων αυτών από την [Υπηρεσία] καθώς και στο να καθίστανται αυτά δημοσίως προσβάσιμα, παρά τις αιτιολογικές σκέψεις 32, 40, 42, 43 και 50 του [ΓΚΠΔ], ως διευκρίνιση σχετικά με τη δυνατότητα “οικειοθελούς δημοσιοποιήσεως” κατά την έννοια του άρθρου 4, παράγραφος 2, της οδηγίας [2009/101], ακόμη και δεδομένων προσωπικού χαρακτήρα;
4. Επιτρέπονται προς τον σκοπό της εκπληρώσεως της υποχρεώσεως που απορρέει από το άρθρο 3, παράγραφος 7, της οδηγίας [2009/101], σύμφωνα με την οποία τα κράτη μέλη λαμβάνουν τα αναγκαία μέτρα για την αποφυγή κάθε ασυμφωνίας μεταξύ του κειμένου που δόθηκε στη δημοσιότητα βάσει της παραγράφου 5 [του ίδιου άρθρου 3] και του περιλαμβανομένου στο μητρώο ή στον φάκελο κειμένου και προκειμένου να λαμβάνονται υπόψη τα συμφέροντα τρίτων να γνωρίζουν τις ουσιώδεις καταστατικές πράξεις της εταιρίας καθώς και ορισμένα στοιχεία που την αφορούν, τα οποία αναφέρονται στην αιτιολογική σκέψη 3 της εν λόγω οδηγίας, εθνικές διατάξεις που προβλέπουν συγκεκριμένη διαδικασία (έντυπο αιτήσεως, υποβολή αντιγράφων εγγράφων στα οποία έχουν απαλειφθεί δεδομένα προσωπικού χαρακτήρα) για την άσκηση του δικαιώματος του φυσικού προσώπου, σύμφωνα με το άρθρο 17 του [ΓΚΠΔ], να ζητήσει από τον υπεύθυνο επεξεργασίας τη διαγραφή των δεδομένων προσωπικού χαρακτήρα που το αφορούν χωρίς αδικαιολόγητη καθυστέρηση, όταν τα δεδομένα προσωπικού χαρακτήρα των οποίων ζητείται η διαγραφή αποτελούν μέρος δημοσιοποιηθέντων (δημοσίως προσβάσιμων) εγγράφων, τα οποία, σύμφωνα με παρόμοια διαδικασία, έχουν διατεθεί στον υπεύθυνο επεξεργασίας από άλλο πρόσωπο, το οποίο με την εν λόγω πράξη καθόρισε επίσης τον σκοπό της από αυτό προκληθείσας επεξεργασίας;
5. Λειτουργεί η [Υπηρεσία] υπό τις περιστάσεις της κύριας δίκης μόνον ως υπεύθυνος επεξεργασίας σε σχέση με τα δεδομένα προσωπικού χαρακτήρα ή συνιστά και τον αποδέκτη τους, αν οι σκοποί της επεξεργασίας των δεδομένων ως μέρους των εγγράφων που υποβλήθηκαν για να καταστούν δημοσίως προσβάσιμα έχουν καθοριστεί από άλλον υπεύθυνο επεξεργασίας;
6. Συνιστά η ιδιόχειρη υπογραφή φυσικού προσώπου πληροφορία που αφορά ταυτοποιημένο φυσικό πρόσωπο και εμπίπτει στην έννοια των “δεδομένων προσωπικού χαρακτήρα” κατά το άρθρο 4, σημείο 1, του [ΓΚΠΔ];
7. Έχει ο όρος “μη υλική ζημία” στο άρθρο 82, παράγραφος 1, του [ΓΚΠΔ] την έννοια ότι η εκτίμηση της υπάρξεως μη υλικής ζημίας απαιτεί αισθητή βλάβη και προσβολή προσωπικών συμφερόντων που γίνεται αντικειμενικώς αντιληπτή ή αρκεί προς τούτο η απλώς βραχυπρόθεσμη απώλεια από το υποκείμενο των δεδομένων της εξουσίας επί των δεδομένων του λόγω της δημοσιεύσεως δεδομένων προσωπικού χαρακτήρα στο εμπορικό μητρώο, η οποία δεν είχε οποιαδήποτε αντιληπτή ή βλαπτική συνέπεια για το υποκείμενο των δεδομένων;
8. Μπορεί η γνώμη αριθ. 01-116(20)/01.02.2021 που σύμφωνα με το άρθρο 58, παράγραφος 3, στοιχείο βʹ, του [ΓΚΠΔ] εξέδωσε η εθνική αρχή ελέγχου, ήτοι η [Επιτροπή προστασίας δεδομένων προσωπικού χαρακτήρα], κατά την οποία η [Υπηρεσία] δεν έχει νομική δυνατότητα ούτε εξουσία να περιορίσει αυτεπαγγέλτως ή κατόπιν αιτήσεως του υποκειμένου των δεδομένων την επεξεργασία ήδη δημοσιοποιηθέντων δεδομένων, να θεωρηθεί νομίμως ως απόδειξη, κατά την έννοια του άρθρου 82, παράγραφος 3, του [ΓΚΠΔ], περί του ότι η [Υπηρεσία] δεν φέρει καμία ευθύνη για το γεγονός που προκάλεσε τη ζημία στο φυσικό πρόσωπο;»
Επί των προδικαστικών ερωτημάτων
Προκαταρκτικές παρατηρήσεις
47 Ως προκαταρκτικό ζήτημα, επισημαίνεται ότι τα υποβληθέντα ερωτήματα αφορούν την ερμηνεία τόσο του ΓΚΠΔ όσο και της οδηγίας 2009/101, που κωδικοποιήθηκε και αντικαταστάθηκε από την οδηγία 2017/1132, η οποία έχει εφαρμογή ratione temporis στα πραγματικά περιστατικά της κύριας δίκης. Κατά συνέπεια, η αίτηση προδικαστικής αποφάσεως πρέπει να ερμηνευθεί υπό την έννοια ότι αφορά την ερμηνεία της οδηγίας 2017/1132.
48 Επιπλέον, όπως παρατήρησε η γενική εισαγγελέας στο σημείο 15 των προτάσεών της, δεδομένου ότι ορισμένα εκ των πραγματικών περιστατικών είναι μεταγενέστερα της 1ης Αυγούστου 2021, ημερομηνίας κατά την οποία έληγε η προθεσμία μεταφοράς της οδηγίας 2019/1151 στο εσωτερικό δίκαιο σύμφωνα με το άρθρο 2, παράγραφος 1, της τελευταίας αυτής οδηγίας, εναπόκειται στο αιτούν δικαστήριο να ελέγξει αν τα εν λόγω πραγματικά περιστατικά εμπίπτουν στο ratione temporis πεδίο εφαρμογής της οδηγίας 2017/1132 ή της οδηγίας 2017/1132, όπως τροποποιήθηκε με την οδηγία 2019/1151.
49 Πάντως, διαπιστώνεται ότι οι τροποποιήσεις τις οποίες επέφερε η οδηγία 2019/1151 στο γράμμα των άρθρων 16 και 161 της οδηγίας 2017/1132, καθώς και η προσθήκη, και πάλι με την οδηγία 2019/1151, του άρθρου 16α στην οδηγία 2017/1132, είναι άνευ σημασίας για την ανάλυση την οποία καλείται να πραγματοποιήσει το Δικαστήριο στην υπό κρίση υπόθεση, οπότε οι απαντήσεις που θα δοθούν με την παρούσα απόφαση θα ισχύουν σε κάθε περίπτωση.
Επί του πρώτου προδικαστικού ερωτήματος
50 Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 21, παράγραφος 2, της οδηγίας 2017/1132 έχει την έννοια ότι συνεπάγεται υποχρέωση κράτους μέλους να επιτρέπει τη δημοσιότητα, στο εμπορικό μητρώο, εταιρικής σύμβασης που υπόκειται στην προβλεπόμενη από την οδηγία υποχρεωτική δημοσιότητα και περιέχει, πέραν των ελάχιστων απαιτούμενων δεδομένων προσωπικού χαρακτήρα, αλλά προσωπικά δεδομένα των οποίων η δημοσίευση δεν επιβάλλεται από το δίκαιο του ως άνω κράτους μέλους.
51 Ειδικότερα, το αιτούν δικαστήριο διερωτάται ως προς το περιεχόμενο της οικειοθελούς δημοσιότητας για την οποία γίνεται λόγος στην προαναφερθείσα διάταξη και ζητεί να αποσαφηνιστεί αν αυτή υποχρεώνει τα κράτη μέλη να επιτρέπουν τη δημοσιότητα στοιχείων, όπως δεδομένων προσωπικού χαρακτήρα, που περιλαμβάνονται στις εταιρικές πράξεις και δεν είναι μεταξύ των απαιτούμενων στο πλαίσιο της υποχρεωτικής δημοσιότητας την οποία προβλέπει η οδηγία 2017/1132.
52 Κατά το άρθρο 21, παράγραφος 2, πρώτο εδάφιο, της οδηγίας 2017/1132, «[ε]κτός από την υποχρεωτική δημοσιότητα των πράξεων και στοιχείων σύμφωνα με το άρθρο 16, τα κράτη μέλη επιτρέπουν τη, σύμφωνα με το άρθρο 16, οικειοθελή δημοσιοποίηση των μεταφράσεων των πράξεων και στοιχείων που μνημονεύονται στο άρθρο 14 σε οποιαδήποτε επίσημη γλώσσα ή γλώσσες της Ένωσης». Το δεύτερο εδάφιο του άρθρου 21, παράγραφος 2, επιτρέπει στα κράτη μέλη να επιβάλλουν, ως απαίτηση, την επικύρωση «των μεταφράσεων των εν λόγω πράξεων και στοιχείων». Τέλος, το τρίτο εδάφιο του άρθρου 21, παράγραφος 2, αφορά τα αναγκαία μέτρα προς διευκόλυνση της πρόσβασης στις «μεταφράσεις» που έχουν δημοσιοποιηθεί οικειοθελώς.
53 Το άρθρο 14 της οδηγίας 2017/1132, από την πλευρά του, ορίζει τις πράξεις και τα στοιχεία που πρέπει οπωσδήποτε να δημοσιεύονται από τις εταιρίες. Αυτά πρέπει, σύμφωνα με τα όσα προβλέπει το άρθρο 16, παράγραφοι 3 έως 5, της οδηγίας, να τηρούνται στον φάκελο ή να καταχωρίζονται στο μητρώο, να είναι προσβάσιμα μέσω της λήψης πλήρους αντιγράφου ή αποσπάσματος κατόπιν αιτήσεως και είτε να δημοσιεύονται, σε πλήρη μορφή ή υπό μορφή αποσπασμάτων ή με την αναγραφή μνείας, στο εθνικό δελτίο, είτε να εξασφαλίζεται η δημοσιότητά τους με άλλο μέτρο ισοδυνάμου αποτελέσματος.
54 Συναφώς, λαμβανομένης ιδίως υπόψη της επανειλημμένης χρήσης της λέξης «μεταφράσεις» στο άρθρο 21, παράγραφος 2, της οδηγίας 2017/1132, από το γράμμα της διατάξεως προκύπτει ότι αυτή έχει ως αντικείμενο την οικειοθελή δημοσιότητα των μεταφράσεων των διαλαμβανόμενων στο άρθρο 14 πράξεων και στοιχείων σε μια επίσημη γλώσσα της Ένωσης και, ως εκ τούτου, αφορά μόνον τη γλώσσα δημοσίευσής τους. Αντιθέτως, στην εν λόγω διάταξη ουδεμία αναφορά γίνεται στο περιεχόμενο αυτών των πράξεων και στοιχείων.
55 Συνεπώς, από το γράμμα του άρθρου 21, παράγραφος 2, της οδηγίας 2017/1132 συνάγεται το συμπέρασμα ότι η συγκεκριμένη διάταξη δεν μπορεί να ερμηνευθεί υπό την έννοια ότι επιβάλλει στα κράτη μέλη οποιαδήποτε υποχρέωση σχετική με τη δημοσιότητα δεδομένων προσωπικού χαρακτήρα τα οποία δεν απαιτείται να δημοσιεύονται ούτε βάσει άλλων διατάξεων του δικαίου της Ένωσης ούτε βάσει του δικαίου του ενδιαφερόμενου κράτους μέλους, αλλά περιλαμβάνονται σε πράξη υποκείμενη στην υποχρεωτική δημοσιότητα που προβλέπεται από την προαναφερθείσα οδηγία.
56 Εφόσον όμως το νόημα μιας διατάξεως του δικαίου της Ένωσης προκύπτει χωρίς αμφισημία από το ίδιο το γράμμα της, το Δικαστήριο δεν είναι δυνατόν να αποκλίνει από την ερμηνεία αυτή [απόφαση της 25ης Ιανουαρίου 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, σκέψη 39].
57 Εν πάση περιπτώσει, όσον αφορά την όλη οικονομία της διατάξεως του άρθρου 21, παράγραφος 2, της οδηγίας 2017/1132, ο τίτλος του άρθρου, το οποίο επιγράφεται «Γλώσσα δημοσιότητας και μετάφραση των δημοσιοποιούμενων πράξεων και στοιχείων», ενισχύει την ερμηνεία που προεκτέθηκε στη σκέψη 55 της παρούσας αποφάσεως, όπως και οι λοιπές παράγραφοι του ίδιου άρθρου.
58 Πράγματι, το άρθρο 21, παράγραφος 1, της οδηγίας 2017/1132 ορίζει ότι «[ο]ι πράξεις και τα στοιχεία που πρέπει να δίδονται στη δημοσιότητα δυνάμει του άρθρου 14 καταρτίζονται και κατατίθενται σε μία από τις γλώσσες που είναι εγκεκριμένες» σύμφωνα με τους ισχύοντες σχετικούς εθνικούς κανόνες. Το άρθρο 21 παράγραφος 3, προβλέπει ότι, εκτός από την υποχρεωτική δημοσιότητα κατά την έννοια του άρθρου 16 και την οικειοθελή δημοσιότητα κατά την έννοια του άρθρου 21, παράγραφος 2, τα κράτη μέλη μπορούν να επιτρέπουν τη δημοσίευση των οικείων πράξεων και στοιχείων «σε οποιαδήποτε άλλη γλώσσα». Το δε άρθρο 21, παράγραφος 4, κάνει λόγο για «οικειοθελώς δημοσιευθείσα μετάφραση».
59 Η προεκτεθείσα στη σκέψη 55 της παρούσας αποφάσεως ερμηνεία επιβεβαιώνεται, τέλος, από την αιτιολογική σκέψη 12 της οδηγίας 2017/1132, όπου επισημαίνεται ότι θα πρέπει να διευκολύνεται η διασυνοριακή πρόσβαση σε πληροφορίες σχετικές με τις εταιρίες και, στο πλαίσιο αυτό, να επιτρέπεται, πέραν της υποχρεωτικής δημοσιότητας σε μία από τις εγκεκριμένες γλώσσες του κράτους μέλους της εκάστοτε εταιρίας, και η προαιρετική καταχώριση των απαιτούμενων πράξεων και στοιχείων σε άλλες γλώσσες.
60 Λαμβανομένων υπόψη των ανωτέρω, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 21, παράγραφος 2, της οδηγίας 2017/1132 έχει την έννοια ότι δεν συνεπάγεται υποχρέωση κράτους μέλους να επιτρέπει τη δημοσιότητα, στο εμπορικό μητρώο, εταιρικής σύμβασης που υπόκειται στην προβλεπόμενη από την οδηγία υποχρεωτική δημοσιότητα και περιέχει, πέραν των ελάχιστων απαιτούμενων δεδομένων προσωπικού χαρακτήρα, αλλά προσωπικά δεδομένα των οποίων η δημοσίευση δεν επιβάλλεται από το δίκαιο του κράτους μέλους αυτού.
Επί του δευτέρου και του τρίτου προδικαστικού ερωτήματος
61 Δεδομένης της απαντήσεως που δόθηκε στο πρώτο προδικαστικό ερώτημα, παρέλκει η απάντηση στο δεύτερο και στο τρίτο ερώτημα, τα οποία τέθηκαν μόνο για την περίπτωση που θα δινόταν καταφατική απάντηση στο πρώτο ερώτημα.
Επί του πέμπτου προδικαστικού ερωτήματος
62 Με το πέμπτο προδικαστικό ερώτημα, το οποίο πρέπει να εξεταστεί πριν από το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν ο ΓΚΠΔ, και ειδικότερα το άρθρο 4, σημεία 7 και 9, του ΓΚΠΔ, έχει την έννοια ότι η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου κράτους μέλους και δημοσιεύει στο μητρώο τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε εταιρική σύμβαση η οποία υπόκειται στην προβλεπόμενη από την οδηγία 2017/1132 υποχρεωτική δημοσιότητα και έχει κοινοποιηθεί στην εν λόγω αρχή στο πλαίσιο αιτήσεως καταχώρισης της οικείας εταιρίας στο μητρώο είναι τόσο «αποδέκτης» των δεδομένων αυτών όσο και «υπεύθυνος επεξεργασίας» τους, κατά την έννοια της προαναφερθείσας διατάξεως.
63 Υπενθυμίζεται εκ προοιμίου ότι το άρθρο 161 της οδηγίας 2017/1132 ορίζει ότι τυχόν επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται στο πλαίσιο της συγκεκριμένης οδηγίας διέπεται από την οδηγία 95/46 και, ως εκ τούτου, από τον ΓΚΠΔ, του οποίου το άρθρο 94, παράγραφος 2, διευκρινίζει ότι οι παραπομπές στην τελευταία αυτή οδηγία νοούνται ως παραπομπές στον ΓΚΠΔ.
64 Συναφώς, διαπιστώνεται κατ’ αρχάς ότι, κατά το άρθρο 14, στοιχεία αʹ, βʹ και δʹ, σημεία i) και ii), της οδηγίας 2017/1132, τα κράτη μέλη οφείλουν να λαμβάνουν τα αναγκαία μέτρα ώστε η σχετική με τις εταιρίες υποχρεωτική δημοσιότητα να καλύπτει τουλάχιστον την ιδρυτική πράξη της εταιρίας και τυχόν τροποποιήσεις της, τον διορισμό, την παύση των καθηκόντων, καθώς και τα στοιχεία της ταυτότητας των ατόμων τα οποία, είτε ως προβλεπόμενο εκ του νόμου όργανο ή ως μέλη τέτοιου οργάνου, έχουν την εξουσία να δεσμεύουν την εταιρία έναντι τρίτων και να την εκπροσωπούν ενώπιον δικαστηρίου, ή συμμετέχουν στη διοίκηση, την εποπτεία ή τον έλεγχο της εταιρίας. Επιπλέον, βάσει του άρθρου 4, στοιχείο θʹ, της οδηγίας 2017/1132, οι απαιτούμενες ενδείξεις που πρέπει να περιέχονται στη συστατική πράξη η οποία υπόκειται σε δημοσιότητα περιλαμβάνουν τα στοιχεία της ταυτότητας των φυσικών ή νομικών προσώπων ή των εταιριών που υπέγραψαν ή στο όνομα των οποίων έχει υπογραφεί η συστατική πράξη.
65 Κατ’ εφαρμογήν του άρθρου 16, παράγραφοι 3, 4 και 5, της οδηγίας 2017/1132, αυτές οι πράξεις και τα αντίστοιχα στοιχεία πρέπει, όπως προεκτέθηκε στη σκέψη 53 της παρούσας αποφάσεως, να τηρούνται στον φάκελο ή να καταχωρίζονται στο μητρώο, να είναι προσβάσιμα μέσω της λήψης πλήρους αντιγράφου ή αποσπάσματος κατόπιν αιτήσεως και είτε να δημοσιεύονται, σε πλήρη μορφή ή υπό μορφή αποσπασμάτων ή με την αναγραφή μνείας, στο εθνικό δελτίο, είτε να εξασφαλίζεται η δημοσιότητά τους με άλλο μέτρο ισοδυνάμου αποτελέσματος.
66 Συνεπώς, όπως επισήμανε η γενική εισαγγελέας στο σημείο 26 των προτάσεών της, εναπόκειται στα κράτη μέλη να ορίσουν, μεταξύ άλλων, ποιες κατηγορίες πληροφοριών σχετικών με την ταυτότητα των προσώπων για τα οποία γίνεται λόγος στο άρθρο 4, στοιχείο θʹ, και στο άρθρο 14, στοιχείο δʹ, της οδηγίας 2017/1132, και ειδικότερα ποια είδη δεδομένων προσωπικού χαρακτήρα, υπόκεινται σε υποχρεωτική δημοσιότητα, τηρουμένου του δικαίου της Ένωσης.
67 Τα στοιχεία όμως της ταυτότητας των προσώπων αυτών συνιστούν, ως πληροφορίες σχετικές με ταυτοποιούμενα ή ταυτοποιήσιμα φυσικά πρόσωπα, «δεδομένα προσωπικού χαρακτήρα» κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ (πρβλ. απόφαση της 9ης Μαρτίου 2017, Manni, C‑398/15, EU:C:2017:197, σκέψη 34).
68 Το ίδιο ισχύει και για τα συμπληρωματικά στοιχεία τα οποία αφορούν την ταυτότητα των ως άνω προσώπων ή άλλων κατηγοριών προσώπων που τα κράτη μέλη αποφασίζουν ότι πρέπει να υπέχουν υποχρέωση δημοσιότητας, ή για στοιχεία τα οποία, όπως εν προκειμένω, περιλαμβάνονται στις πράξεις που υπόκεινται σε τέτοια δημοσιότητα, καίτοι δεν πρόκειται για στοιχεία τα οποία απαιτείται, βάσει της οδηγίας 2017/1132 ή των εθνικών διατάξεων για τη μεταφορά της στο εσωτερικό δίκαιο, να καθίστανται προσβάσιμα στο κοινό.
69 Εν συνεχεία, όσον αφορά την έννοια του «αποδέκτη» κατά το άρθρο 4, σημείο 9, του ΓΚΠΔ, αυτή ορίζεται ως «το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, στα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι», ενώ η ίδια διάταξη διευκρινίζει ότι εξαιρούνται από τον ανωτέρω ορισμό οι δημόσιες αρχές στις οποίες κοινοποιούνται τέτοια δεδομένα στο πλαίσιο συγκεκριμένης έρευνας βάσει του δικαίου της Ένωσης ή του δικαίου κράτους μέλους.
70 Επομένως, η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου κράτους μέλους, λαμβάνοντας, στο πλαίσιο αιτήσεως καταχώρισης εταιρίας στο μητρώο, κοινοποίηση με τις αναφερόμενες στο άρθρο 14 της οδηγίας 2017/1132 πράξεις οι οποίες υπόκεινται σε υποχρεωτική δημοσιότητα και περιέχουν δεδομένα προσωπικού χαρακτήρα, είτε αυτά είναι απαιτούμενα από την οδηγία ή από το εθνικό δίκαιο είτε όχι, έχει την ιδιότητα του «αποδέκτη» των εν λόγω προσωπικών δεδομένων, κατά την έννοια του άρθρου 4, σημείο 1, του ΓΚΠΔ.
71 Τέλος, βάσει του άρθρου 4, σημείο 7, του ΓΚΠΔ, η έννοια του «υπευθύνου επεξεργασίας» καλύπτει τα φυσικά ή νομικά πρόσωπα, τις δημόσιες αρχές, τις υπηρεσίες ή άλλους φορείς που καθορίζουν, μεμονωμένα ή από κοινού με άλλα πρόσωπα, τους σκοπούς και τον τρόπο της επεξεργασίας. Η ίδια διάταξη ορίζει επίσης ότι όταν οι σκοποί και ο τρόπος της επεξεργασίας αυτής καθορίζονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους, ο υπεύθυνος επεξεργασίας ή τα ειδικά κριτήρια για τον ορισμό του μπορούν να προβλέπονται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους.
72 Υπενθυμίζεται δε ότι, κατά τη νομολογία του Δικαστηρίου, η διάταξη αυτή, δίνοντας ευρύ ορισμό της έννοιας του «υπευθύνου επεξεργασίας», αποσκοπεί στη διασφάλιση αποτελεσματικής και πλήρους προστασίας των υποκειμένων των δεδομένων [απόφαση της 11ης Ιανουαρίου 2024, État belge (Επεξεργασία δεδομένων από επίσημη εφημερίδα), C‑231/22, EU:C:2024:7, σκέψη 28 και εκεί μνημονευόμενη νομολογία].
73 Λαμβανομένου υπόψη του γράμματος του άρθρου 4, σημείο 7, του ΓΚΠΔ, ερμηνευόμενου υπό το πρίσμα του προαναφερθέντος σκοπού, προκύπτει ότι, για να διαπιστωθεί αν ορισμένο πρόσωπο ή ορισμένη οντότητα πρέπει να χαρακτηριστεί ως «υπεύθυνος επεξεργασίας» κατά την έννοια της ως άνω διατάξεως, επιβάλλεται να εξεταστεί αν το συγκεκριμένο πρόσωπο ή η συγκεκριμένη οντότητα καθορίζει, μεμονωμένα ή από κοινού με άλλα πρόσωπα, τους σκοπούς και τον τρόπο της επεξεργασίας ή αν αυτοί καθορίζονται από το ενωσιακό ή το εθνικό δίκαιο. Όταν ο καθορισμός τους γίνεται από το εθνικό δίκαιο, πρέπει επιπλέον να ελεγχθεί αν το εθνικό δίκαιο ορίζει τον υπεύθυνο επεξεργασίας ή προβλέπει τα ειδικά κριτήρια για τον ορισμό του [πρβλ. απόφαση της 11ης Ιανουαρίου 2024, État belge (Επεξεργασία δεδομένων από επίσημη εφημερίδα), C‑231/22, EU:C:2024:7, σκέψη 29].
74 Διευκρινίζεται επίσης ότι, λαμβανομένου υπόψη του ευρέος ορισμού της έννοιας του «υπευθύνου επεξεργασίας» στο άρθρο 4, σημείο 7, του ΓΚΠΔ, ο καθορισμός των σκοπών και του τρόπου της επεξεργασίας και, ενδεχομένως, ο ορισμός του υπευθύνου της επεξεργασίας από το εθνικό δίκαιο μπορούν να γίνονται όχι μόνο ρητώς, αλλά και εμμέσως. Στην τελευταία περίπτωση απαιτείται εντούτοις ο ορισμός του υπευθύνου επεξεργασίας να συνάγεται με επαρκή βεβαιότητα από τον ρόλο, την αποστολή και τις εξουσίες που ανατίθενται στο συγκεκριμένο πρόσωπο ή στη συγκεκριμένη οντότητα [απόφαση της 11ης Ιανουαρίου 2024, État belge (Επεξεργασία δεδομένων από επίσημη εφημερίδα), C‑231/22, EU:C:2024:7, σκέψη 30].
75 Επιπλέον, καταχωρίζοντας και φυλάσσοντας τα δεδομένα προσωπικού χαρακτήρα τα οποία λαμβάνει στο πλαίσιο αιτήσεως καταχώρισης εταιρίας στο εμπορικό μητρώο κράτους μέλους, γνωστοποιώντας τα, ενδεχομένως, σε τρίτους κατόπιν αιτήσεως και δημοσιεύοντάς τα στο εθνικό δελτίο, ή εξασφαλίζοντας τη δημοσιοποίησή τους με κάποιο μέτρο ισοδυνάμου αποτελέσματος, η αρχή που είναι αρμόδια για την τήρηση του μητρώου προβαίνει σε πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε σχέση με τις οποίες είναι «υπεύθυνος επεξεργασίας» κατά την έννοια του άρθρου 4, σημεία 2 και 7, του ΓΚΠΔ (πρβλ. απόφαση της 9ης Μαρτίου 2017, Manni, C‑398/15, EU:C:2017:197, σκέψη 35).
76 Πράγματι, αυτές οι πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα είναι διακριτές και μεταγενέστερες της κοινοποίησης των δεδομένων προσωπικού χαρακτήρα από τον αιτούντα την καταχώριση στο εμπορικό μητρώο προς την αρχή που είναι αρμόδια για την τήρησή του. Εξάλλου, η αρμόδια αρχή προβαίνει μόνη της στις σχετικές πράξεις επεξεργασίας, σύμφωνα με τους σκοπούς και τους λεπτομερείς κανόνες που καθορίζονται στην οδηγία 2017/1132 και στη νομοθεσία του οικείου κράτους μέλους με την οποία η οδηγία μεταφέρεται στο εσωτερικό του δίκαιο.
77 Συναφώς διευκρινίζεται ότι από τις αιτιολογικές σκέψεις 1, 7 και 8 της οδηγίας 2017/1132 προκύπτει ότι η δημοσιότητα την οποία προβλέπει η οδηγία αποσκοπεί ιδίως στην προστασία των συμφερόντων των τρίτων σε σχέση με τις κεφαλαιουχικές εταιρίες και με τις εταιρίες περιορισμένης ευθύνης, δεδομένου ότι η μόνη εγγύηση που αυτές παρέχουν έναντι των τρίτων είναι η εταιρική τους περιουσία. Στο πλαίσιο του ανωτέρω σκοπού, η δημοσιότητα πρέπει να παρέχει στους τρίτους τη δυνατότητα να γνωρίζουν τις ουσιώδεις καταστατικές πράξεις της εκάστοτε εταιρίας καθώς και ορισμένα στοιχεία που την αφορούν, όπως τα στοιχεία της ταυτότητας των ατόμων που έχουν την εξουσία να τη δεσμεύουν.
78 Πέραν τούτου, ο σκοπός της οδηγίας 2017/1132 είναι να κατοχυρώσει την ασφάλεια δικαίου στις σχέσεις μεταξύ των εταιριών και των τρίτων, ενόψει της εντατικοποίησης των οικονομικών συναλλαγών μεταξύ κρατών μελών κατόπιν της δημιουργίας της εσωτερικής αγοράς. Υπό την οπτική αυτή, είναι σημαντικό να μπορεί κάθε πρόσωπο το οποίο επιθυμεί να συνάψει και να διατηρήσει εμπορικές σχέσεις με εταιρίες εδρεύουσες σε άλλα κράτη μέλη να γνωρίζει με ευκολία τα ουσιώδη στοιχεία σχετικά με τη σύσταση των εμπορικών εταιριών και με τις εξουσίες των ατόμων που είναι αρμόδια να τις εκπροσωπούν, όπερ προϋποθέτει ότι όλα τα κρίσιμα στοιχεία αναγράφονται ρητώς στο μητρώο (πρβλ. απόφαση της 9ης Μαρτίου 2017, Manni, C‑398/15, EU:C:2017:197, σκέψη 50).
79 Όπως όμως παρατήρησε η γενική εισαγγελέας στο σημείο 39 των προτάσεών της, κοινοποιώντας στην αρχή η οποία είναι αρμόδια για την τήρηση του εμπορικού μητρώου κράτους μέλους τις πράξεις και τα στοιχεία που υπόκεινται στην προβλεπόμενη από την οδηγία 2017/1132 υποχρεωτική δημοσιότητα και υποβάλλοντας, ως εκ τούτου, σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα που περιέχονται στις πράξεις αυτές, ο αιτών την καταχώριση της εταιρίας στο μητρώο ουδεμία επιρροή ασκεί στον καθορισμό των σκοπών και των μεταγενέστερων πράξεων επεξεργασιών στις οποίες προβαίνει η αρμόδια αρχή. Επιπλέον, ο αιτών επιδιώκει δικούς του, διαφορετικούς σκοπούς, ήτοι να εκπληρώσει τις διατυπώσεις που είναι αναγκαίες για την καταχώριση της εταιρίας.
80 Εν προκειμένω, όπως επισήμανε η γενική εισαγγελέας στα σημεία 31 και 32 των προτάσεών της, από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι τα προσωπικά δεδομένα της OL κατέστησαν προσβάσιμα στο κοινό στο πλαίσιο της άσκησης των εξουσιών που ανατίθενται στην Υπηρεσία ως αρχή αρμόδια για την τήρηση του εμπορικού μητρώου, δεδομένου ότι οι σκοποί και ο τρόπος της επεξεργασίας των δεδομένων αυτών καθορίζονται τόσο από το δίκαιο της Ένωσης όσο και από την επίμαχη στην υπόθεση της κύριας δίκης εθνική νομοθεσία, και δη από το άρθρο 13, παράγραφος 9, του νόμου περί μητρώων. Συνακόλουθα, το γεγονός ότι, αντιθέτως προς τους διαδικαστικούς κανόνες που προβλέπονται από την εθνική αυτή νομοθεσία, δεν κοινοποιήθηκε στην αρμόδια αρχή επικυρωμένο αντίγραφο της επίδικης εταιρικής σύμβασης από το οποίο να έχουν απαλειφθεί τα προσωπικά δεδομένα που δεν είναι απαιτούμενα από την εν λόγω νομοθεσία, είναι άνευ σημασίας για τον χαρακτηρισμό της Υπηρεσίας ως «υπευθύνου επεξεργασίας».
81 Ο ως άνω χαρακτηρισμός δεν αναιρείται ούτε από το γεγονός ότι η Υπηρεσία δεν ελέγχει, δυνάμει της ίδιας εθνικής νομοθεσίας, πριν από τη διαδικτυακή τους ανάρτηση, τα δεδομένα προσωπικού χαρακτήρα τα οποία περιέχονται στις σαρωμένες εικόνες ή στα πρωτότυπα των εγγράφων που της κοινοποιούνται για τους σκοπούς της καταχώρισης της εκάστοτε εταιρίας. Ως προς το ζήτημα αυτό, το Δικαστήριο έχει κρίνει ότι θα αντέβαινε προς τον σκοπό του άρθρου 4, παράγραφος 7, του ΓΚΠΔ, ο οποίος προεκτέθηκε στη σκέψη 72 της παρούσας αποφάσεως, ο αποκλεισμός της επίσημης εφημερίδας κράτους μέλους από την έννοια του «υπευθύνου επεξεργασίας» με την αιτιολογία ότι η επίσημη εφημερίδα δεν ασκεί έλεγχο επί των προσωπικών δεδομένων που περιέχονται στις δημοσιεύσεις της [απόφαση της 11ης Ιανουαρίου 2024, État belge (Επεξεργασία δεδομένων από επίσημη εφημερίδα), C‑231/22, EU:C:2024:7, σκέψη 38].
82 Υπό τις περιστάσεις αυτές, προκύπτει ότι, σε περίπτωση όπως εκείνη της υποθέσεως της κύριας δίκης, η Υπηρεσία είναι η υπεύθυνη της επεξεργασίας στην οποία υποβλήθηκαν τα δεδομένα προσωπικού χαρακτήρα της OL με το να καταστούν προσβάσιμα στο κοινό μέσω διαδικτύου, έστω και αν θα έπρεπε να έχει κοινοποιηθεί στην Υπηρεσία, βάσει της επίμαχης εν προκειμένω εθνικής νομοθεσίας, αντίγραφο της επίδικης εταιρικής σύμβασης από το οποίο να έχουν απαλειφθεί τα προσωπικά δεδομένα που δεν είναι απαιτούμενα από τη νομοθεσία αυτή, όπερ εναπόκειται στο αιτούν δικαστήριο να ελέγξει. Συνεπώς, η Υπηρεσία είναι επίσης, δυνάμει του άρθρου 5, παράγραφος 2, του ΓΚΠΔ, υπεύθυνη για την τήρηση της παραγράφου 1 του ίδιου άρθρου.
83 Λαμβανομένων υπόψη των ανωτέρω, στο πέμπτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι ο ΓΚΠΔ, και ειδικότερα το άρθρο 4, σημεία 7 και 9, του ΓΚΠΔ, έχει την έννοια ότι η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου κράτους μέλους και δημοσιεύει στο μητρώο τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε εταιρική σύμβαση η οποία υπόκειται στην προβλεπόμενη από την οδηγία 2017/1132 υποχρεωτική δημοσιότητα και έχει κοινοποιηθεί στην αρμόδια αρχή ενόψει της καταχώρισης της εταιρίας στο μητρώο είναι τόσο «αποδέκτης» των δεδομένων αυτών όσο και, στον βαθμό που τα καθιστά προσβάσιμα στο κοινό, «υπεύθυνος επεξεργασίας» τους, κατά την έννοια της προαναφερθείσας διατάξεως, ακόμη και αν η εταιρική σύμβαση περιέχει δεδομένα προσωπικά χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την οδηγία 2017/1132 ή από το δίκαιο του ως άνω κράτους μέλους.
Επί του τετάρτου προδικαστικού ερωτήματος
Επί του παραδεκτού
84 Η Βουλγαρική Κυβέρνηση υποστηρίζει ότι το τέταρτο προδικαστικό ερώτημα είναι απαράδεκτο διότι θέτει ζήτημα υποθετικής φύσεως. Κατά την άποψή της, με το συγκεκριμένο ερώτημα ζητείται, στην πραγματικότητα, να διευκρινιστεί αν συνάδει με το άρθρο 16 της οδηγίας 2017/1132 εθνική νομοθεσία σχετική με τους διαδικαστικούς κανόνες άσκησης του κατοχυρωμένου στο άρθρο 17 του ΓΚΠΔ δικαιώματος, η οποία δεν έχει ακόμη θεσπιστεί.
85 Κατά πάγια νομολογία, η διαδικασία προδικαστικής παραπομπής του άρθρου 267 ΣΛΕΕ καθιερώνει στενή συνεργασία μεταξύ των εθνικών δικαστηρίων και του Δικαστηρίου, στηριζόμενη σε κατανομή των καθηκόντων μεταξύ τους, και συνιστά μηχανισμό μέσω του οποίου το Δικαστήριο παρέχει στα εθνικά δικαστήρια τα ερμηνευτικά εκείνα στοιχεία του δικαίου της Ένωσης που τους είναι αναγκαία για την επίλυση των διαφορών επί των οποίων καλούνται να αποφανθούν. Στο πλαίσιο της συνεργασίας αυτής, ο εθνικός δικαστής, ο οποίος έχει επιληφθεί της διαφοράς και φέρει την ευθύνη της δικαστικής αποφάσεως που πρόκειται να εκδοθεί, είναι αποκλειστικώς αρμόδιος να εκτιμήσει, με γνώμονα τις ιδιαιτερότητες της υποθέσεως, τόσο το αν η προδικαστική απόφαση είναι αναγκαία για την έκδοση της δικής του αποφάσεως όσο και το αν τα ερωτήματα τα οποία υποβάλλει στο Δικαστήριο είναι λυσιτελή. Κατά συνέπεια, εφόσον τα υποβληθέντα προδικαστικά ερωτήματα αφορούν την ερμηνεία του δικαίου της Ένωσης, το Δικαστήριο οφείλει, κατ’ αρχήν, να αποφανθεί [απόφαση της 23ης Νοεμβρίου 2021, IS (Μη σύννομο της διατάξεως περί παραπομπής), C‑564/19, EU:C:2021:949, σκέψεις 59 και 60 και εκεί μνημονευόμενη νομολογία].
86 Επομένως, τα προδικαστικά ερωτήματα τα οποία αφορούν το δίκαιο της Ένωσης τεκμαίρονται λυσιτελή. Το Δικαστήριο μπορεί να αρνηθεί να αποφανθεί επί προδικαστικού ερωτήματος που έχει υποβληθεί από εθνικό δικαστήριο μόνον όταν είναι πρόδηλο ότι η ζητούμενη ερμηνεία του δικαίου της Ένωσης ουδεμία σχέση έχει με το υποστατό ή με το αντικείμενο της διαφοράς της κύριας δίκης, όταν το πρόβλημα είναι υποθετικής φύσεως ή, ακόμη, όταν το Δικαστήριο δεν διαθέτει τα πραγματικά και νομικά στοιχεία τα οποία είναι αναγκαία προκειμένου να δώσει χρήσιμη απάντηση στα ερωτήματα που του έχουν υποβληθεί [απόφαση της 24ης Νοεμβρίου 2020, Openbaar Ministerie (Πλαστογραφία), C‑510/19, EU:C:2020:953, σκέψη 26 και εκεί μνημονευόμενη νομολογία].
87 Εν προκειμένω, από την αίτηση προδικαστικής αποφάσεως προκύπτει ότι το αιτούν δικαστήριο καλείται να αποφανθεί, σε τελευταίο βαθμό, επί της νομιμότητας της αποφάσεως της Υπηρεσίας να απορρίψει την αίτηση διαγραφής των επίμαχων στην κύρια δίκη δεδομένων προσωπικού χαρακτήρα με την αιτιολογία ότι δεν της είχε κοινοποιηθεί, αντιθέτως προς τους διαδικαστικές κανόνες που προβλέπονται από τη βουλγαρική νομοθεσία, αντίγραφο της επίδικης εταιρικής σύμβασης από το οποίο να έχουν απαλειφθεί τα προσωπικά δεδομένα που δεν είναι μεταξύ των απαιτούμενων από την εθνική αυτή νομοθεσία. Επιπλέον, από την αίτηση προδικαστικής αποφάσεως συνάγεται ότι η απόρριψη υπό τέτοιες περιστάσεις συνιστά πρακτική της Υπηρεσίας. Τέλος, το αιτούν δικαστήριο διευκρίνισε ότι η απάντηση του Δικαστηρίου στο τέταρτο προδικαστικό ερώτημα είναι αναγκαία για την επίλυση της διαφοράς της κύριας δίκης και ότι η εθνική νομολογία επί του ζητήματος δεν είναι ομοιόμορφη.
88 Ως εκ τούτου, αντιθέτως προς τα όσα υποστηρίζει η Βουλγαρική Κυβέρνηση, το τέταρτο προδικαστικό ερώτημα είναι παραδεκτό.
Επί της ουσίας
89 Λαμβανομένων υπόψη των στοιχείων που περιλαμβάνονται στην αίτηση προδικαστικής αποφάσεως, όπως εκτέθηκαν στη σκέψη 87 της παρούσας αποφάσεως, πρέπει να γίνει δεκτό ότι, με το τέταρτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν η οδηγία 2017/1132, και ειδικότερα το άρθρο της 16, καθώς και το άρθρο 17 του ΓΚΠΔ έχουν την έννοια ότι δεν επιτρέπουν νομοθεσία ή πρακτική κράτους μέλους κατ’ εφαρμογήν της οποίας η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου του κράτους μέλους αυτού απορρίπτει κάθε αίτηση διαγραφής δεδομένων προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την ως άνω οδηγία ή από το δίκαιο του εν λόγω κράτους μέλους αλλά περιλαμβάνονται σε εταιρική σύμβαση δημοσιευόμενη στο μητρώο, εφόσον δεν έχει παρασχεθεί στην αρμόδια αρχή, αντιθέτως προς τους διαδικαστικούς κανόνες που προβλέπονται από την εθνική νομοθεσία, αντίγραφο της σύμβασης από το οποίο να έχουν απαλειφθεί τα προαναφερθέντα δεδομένα.
90 Βάσει του άρθρου 17, παράγραφος 1, του ΓΚΠΔ, το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας να διαγράψει, χωρίς αδικαιολόγητη καθυστέρηση, δεδομένα προσωπικού χαρακτήρα που το αφορούν και ο υπεύθυνος επεξεργασίας υποχρεούται να τα διαγράψει χωρίς αδικαιολόγητη καθυστέρηση, εάν συντρέχει κάποιος από τους λόγους στους οποίους αναφέρεται η διάταξη αυτή.
91 Τέτοιος λόγος συντρέχει, σύμφωνα με το άρθρο 17, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, όταν το υποκείμενο των δεδομένων αντιτίθεται στην επεξεργασία δυνάμει του άρθρου 21, παράγραφος 1, του κανονισμού και «δεν υπάρχουν επιτακτικοί και νόμιμοι λόγοι για την επεξεργασία» ή, σύμφωνα με το άρθρο 17, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ όταν τα επίμαχα δεδομένα «υποβλήθηκαν σε επεξεργασία παράνομα».
92 Προκύπτει επίσης από το άρθρο 17, παράγραφος 3, στοιχείο βʹ, του ΓΚΠΔ ότι το άρθρο 17, παράγραφος 1, δεν εφαρμόζεται στον βαθμό που η επεξεργασία είναι απαραίτητη για την τήρηση νόμιμης υποχρέωσης που επιβάλλει τη διενέργεια επεξεργασίας και προβλέπεται από το δίκαιο της Ένωσης ή από το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, ή για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο της επεξεργασίας.
93 Συνεπώς, προκειμένου να κριθεί αν, σε περίπτωση όπως εκείνη της υποθέσεως της κύριας δίκης, το υποκείμενο των δεδομένων διαθέτει δικαίωμα διαγραφής δυνάμει του άρθρου 17 του ΓΚΠΔ, πρέπει, σε πρώτο στάδιο, να εξεταστούν ο λόγος ή οι λόγοι νομιμότητας στους οποίους μπορεί να εμπίπτει η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν.
94 Υπενθυμίζεται συναφώς ότι το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, του ΓΚΠΔ προβλέπει εξαντλητικό και περιοριστικό κατάλογο των περιπτώσεων στις οποίες η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να θεωρηθεί σύννομη. Ειδικότερα, για να μπορεί να θεωρηθεί νόμιμη, η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να εμπίπτει σε μία από τις περιπτώσεις που προβλέπονται στη διάταξη αυτή [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 99 και εκεί μνημονευόμενη νομολογία].
95 Εάν το υποκείμενο των δεδομένων δεν έχει συγκατατεθεί, κατά την έννοια του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο αʹ, του ΓΚΠΔ, στην επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν ή όταν δεν έχει δοθεί ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει συγκατάθεση, κατά την έννοια του άρθρου 4, σημείο 11, του ΓΚΠΔ, η επεξεργασία μπορεί παρά ταύτα να δικαιολογείται εφόσον πληροί κάποια από τις απαιτήσεις αναγκαιότητας στις οποίες αναφέρεται το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχεία βʹ έως στʹ, του ΓΚΠΔ [πρβλ. απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C‑252/21, EU:C:2023:537, σκέψη 92].
96 Στο πλαίσιο αυτό, οι δικαιολογητικοί λόγοι που προβλέπονται στην τελευταία αυτή διάταξη πρέπει να ερμηνεύονται στενά, δεδομένου ότι η επίκλησή τους μπορεί να καταστήσει νόμιμη μια επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία γίνεται ελλείψει συγκατάθεσης του υποκειμένου των δεδομένων [απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C‑252/21, EU:C:2023:537, σκέψη 93 και εκεί μνημονευόμενη νομολογία].
97 Πρέπει επίσης να διευκρινιστεί ότι, σύμφωνα με τα όσα ορίζει το άρθρο 5 του ΓΚΠΔ, ο υπεύθυνος επεξεργασίας είναι εκείνος που φέρει το βάρος να αποδείξει ότι τα δεδομένα αυτά συλλέγονται, μεταξύ άλλων, για καθορισμένους, ρητούς και νόμιμους σκοπούς, ότι είναι κατάλληλα, συναφή και περιορισμένα σε ό,τι είναι αναγκαίο για τους σκοπούς της επεξεργασίας και ότι υποβάλλονται σε επεξεργασία η οποία είναι νόμιμη, θεμιτή και διαφανής απέναντι στο υποκείμενο των δεδομένων [πρβλ. απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C‑252/21, EU:C:2023:537, σκέψη 95].
98 Μολονότι εναπόκειται στο αιτούν δικαστήριο να κρίνει αν τα διάφορα στοιχεία της επίμαχης στην κύρια δίκη επεξεργασίας δικαιολογούνται βάσει κάποιας από τις απαιτήσεις αναγκαιότητας στις οποίες αναφέρεται το άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχεία αʹ έως στʹ, του ΓΚΠΔ, το Δικαστήριο μπορεί πάντως να του παράσχει χρήσιμες ενδείξεις προκειμένου να το διευκολύνει στην επίλυση της ενώπιόν του διαφοράς [πρβλ. απόφαση της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου), C‑252/21, EU:C:2023:537, σκέψη 96].
99 Εν προκειμένω, κατ’ αρχάς, όπως επισήμανε η γενική εισαγγελέας στο σημείο 43 των προτάσεών της, το τεκμήριο συγκατάθεσης το οποίο καθιερώνεται από το άρθρο 13, παράγραφος 9, του νόμου περί μητρώων δεν πληροί, κατά τα φαινόμενα, τις προϋποθέσεις του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο αʹ, σε συνδυασμό με το άρθρο 4, σημείο 11, του ΓΚΠΔ.
100 Πράγματι, όπως προκύπτει από τις αιτιολογικές σκέψεις 32, 42 και 43 του ΓΚΠΔ, η συγκατάθεση θα πρέπει να παρέχεται με σαφή θετική ενέργεια, παραδείγματος χάριν μέσω γραπτής ή προφορικής δήλωσης, χωρίς να μπορεί να θεωρηθεί ότι δόθηκε ελεύθερα αν το υποκείμενο των δεδομένων δεν διαθέτει πραγματική ελευθερία επιλογής ή δεν είναι σε θέση να αρνηθεί ή να αποσύρει τη συγκατάθεσή του χωρίς να ζημιωθεί. Εξάλλου, η συγκατάθεση δεν θα πρέπει να συνιστά έγκυρη νομική βάση σε μια συγκεκριμένη περίπτωση όταν υφίσταται πρόδηλη ανισορροπία μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας, ιδίως όταν ο υπεύθυνος επεξεργασίας είναι δημόσια αρχή.
101 Ως εκ τούτου, ένα τεκμήριο όπως το προβλεπόμενο στο άρθρο 13, παράγραφος 9, του νόμου περί μητρώων δεν μπορεί να γίνει δεκτό ότι θεμελιώνει ελεύθερη, συγκεκριμένη, ρητή και εν πλήρει επιγνώσει συγκατάθεση για τη διενέργεια επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσια αρχή όπως η Υπηρεσία.
102 Εν συνεχεία, οι λόγοι νομιμότητας οι οποίοι προβλέπονται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχεία βʹ και δʹ, του ΓΚΠΔ και αφορούν την αναγκαιότητα τυχόν επεξεργασίας προσωπικών δεδομένων για την εκτέλεση σύμβασης και για την προστασία των ζωτικών συμφερόντων φυσικού προσώπου δεν ασκούν επιρροή, κατά τα φαινόμενα, στην περίπτωση της επίμαχης στην κύρια δίκη επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Το ίδιο ισχύει και για τον λόγο νομιμότητας ο οποίος προβλέπεται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο στʹ, του ΓΚΠΔ και αφορά την επεξεργασία προσωπικών δεδομένων που είναι απαραίτητη για τους σκοπούς των εννόμων συμφερόντων του υπευθύνου επεξεργασίας, δεδομένου ότι από το γράμμα του άρθρου 6, παράγραφος 1, δεύτερο εδάφιο, του ΓΚΠΔ προκύπτει σαφώς ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται από δημόσια αρχή κατά την άσκηση των καθηκόντων της αποκλείεται από το πεδίο εφαρμογής του προαναφερθέντος λόγου [πρβλ. απόφαση της 8ης Δεκεμβρίου 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Σκοποί της επεξεργασίας δεδομένων προσωπικού χαρακτήρα – Ποινική έρευνα), C‑180/21, EU:C:2022:967, σκέψη 85].
103 Όσον αφορά, τέλος, τους λόγους νομιμότητας οι οποίοι διαλαμβάνονται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχεία γʹ και εʹ, του ΓΚΠΔ, υπενθυμίζεται ότι, βάσει του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο γʹ, η επεξεργασία δεδομένων προσωπικού χαρακτήρα είναι σύννομη εφόσον είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας. Επιπλέον, βάσει του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο εʹ, είναι επίσης σύννομη η επεξεργασία η οποία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
104 Το άρθρο 6, παράγραφος 3, του ΓΚΠΔ ορίζει ειδικότερα, σε σχέση με τους ως άνω δύο λόγους νομιμότητας, ότι βάση για την επεξεργασία πρέπει να είναι το δίκαιο της Ένωσης ή το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, ότι η νομική αυτή βάση πρέπει να εξυπηρετεί σκοπό δημόσιου συμφέροντος και ότι πρέπει να είναι ανάλογη προς τον επιδιωκόμενο θεμιτό σκοπό.
105 Πρώτον, ως προς το ζήτημα κατά πόσον η επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία είναι αναγκαία για την τήρηση έννομης υποχρέωσης που απορρέει από το δίκαιο της Ένωσης ή από το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, κατά την έννοια του άρθρου 6 παράγραφος 1, πρώτο εδάφιο, στοιχείο γʹ, του ΓΚΠΔ, διαπιστώνεται ότι, όπως επισήμανε και η γενική εισαγγελέας στα σημεία 45 και 47 των προτάσεών της, η οδηγία 2017/1132 δεν επιβάλλει τη συστηματική επεξεργασία κάθε δεδομένου προσωπικού χαρακτήρα το οποίο περιέχεται σε πράξη που υπόκειται στην υποχρεωτική δημοσιότητα την οποία προβλέπει η οδηγία αυτή. Απεναντίας, από το άρθρο 161 της εν λόγω οδηγίας καθίσταται σαφές ότι τυχόν επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία διενεργείται στο πλαίσιο της οδηγίας 2017/1132, και πιο συγκεκριμένα κάθε συλλογή, αποθήκευση, παροχή πρόσβασης σε τρίτους και δημοσίευση πληροφοριών δυνάμει της ίδιας οδηγίας, πρέπει να ανταποκρίνεται πλήρως στις απαιτήσεις του ΓΚΠΔ.
106 Εναπόκειται επομένως στα κράτη μέλη, στο πλαίσιο της εφαρμογής των υποχρεώσεων που επιβάλλει η οδηγία αυτή, να μεριμνούν ώστε να επιτυγχάνεται ένας συμβιβασμός μεταξύ, αφενός, των επιδιωκόμενων από την οδηγία σκοπών της ασφάλειας δικαίου και της προστασίας των συμφερόντων των τρίτων, οι οποίοι υπενθυμίστηκαν στη σκέψη 77 της παρούσας αποφάσεως, και, αφετέρου, των δικαιωμάτων που κατοχυρώνονται στον ΓΚΠΔ και του θεμελιώδους δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, μέσω μιας ισόρροπης στάθμισης των προαναφερθέντων σκοπών και δικαιωμάτων (πρβλ. απόφαση της 1ης Αυγούστου 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, σκέψη 98).
107 Επομένως, δεν μπορεί να γίνει δεκτό ότι η παροχή στο κοινό διαδικτυακής πρόσβασης, μέσω του εμπορικού μητρώου, σε δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την οδηγία 2017/1132 ή από την επίμαχη στην υπόθεση της κύριας δίκης εθνική νομοθεσία, αλλά περιλαμβάνονται σε εταιρική σύμβαση υποκείμενη στην υποχρεωτική δημοσιότητα που προβλέπεται από την οδηγία και κοινοποιούμενη, εξ αυτού του λόγου, στην Υπηρεσία, δικαιολογείται από την απαίτηση του άρθρου 16 της οδηγίας για διασφάλιση της δημοσιότητας των πράξεων στις οποίες αναφέρεται το άρθρο 14 της οδηγίας και ότι απορρέει, ως εκ τούτου, από έννομη υποχρέωση προβλεπόμενη από το ενωσιακό δίκαιο.
108 Υπό την επιφύλαξη ελέγχου από το αιτούν δικαστήριο, η νομιμότητα της επίμαχης στην κύρια δίκη επεξεργασίας δεν μπορεί, κατά τα φαινόμενα, να θεμελιωθεί ούτε σε έννομη υποχρέωση προβλεπόμενη από το δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο γʹ, του ΓΚΠΔ, ήτοι εν προκειμένω του βουλγαρικού δικαίου, εφόσον, αφενός, από τη δικογραφία ενώπιον του Δικαστηρίου προκύπτει ότι το άρθρο 2, παράγραφος 2, του νόμου περί μητρώων προβλέπει ότι οι πράξεις που πρέπει να καταχωρίζονται στο εμπορικό μητρώο καθίστανται προσβάσιμες στο κοινό χωρίς τις πληροφορίες οι οποίες αποτελούν δεδομένα προσωπικού χαρακτήρα, «με εξαίρεση τις πληροφορίες που πρέπει να είναι προσβάσιμες στο κοινό βάσει νόμου» και, αφετέρου, το άρθρο 13, παράγραφος 9, του νόμου περί μητρώων καθιερώνει τεκμήριο συγκατάθεσης το οποίο, όπως προκύπτει από τη σκέψη 99 της παρούσας αποφάσεως, δεν πληροί τις απαιτήσεις του ΓΚΠΔ.
109 Δεύτερον, όσον αφορά το ζήτημα αν η επίμαχη στην κύρια δίκη επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας, υπό την έννοια του άρθρου 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο εʹ, του ΓΚΠΔ, στο οποίο παραπέμπουν, μεταξύ άλλων, τόσο το αιτούν δικαστήριο όσο και η Βουλγαρική Κυβέρνηση και η Υπηρεσία, το Δικαστήριο έχει κρίνει ότι εμπίπτει στην άσκηση προνομίων δημοσίας εξουσίας και συνιστά καθήκον που εκτελείται προς το δημόσιο συμφέρον κατά την έννοια της ως άνω διατάξεως η δραστηριότητα δημόσιας αρχής η οποία συνίσταται στην αποθήκευση, σε βάση δεδομένων, των στοιχείων που οι εταιρίες οφείλουν να γνωστοποιούν βάσει έννομων υποχρεώσεων, στην εξασφάλιση της δυνατότητας των ενδιαφερομένων να τα συμβουλεύονται και στη χορήγηση αντιγράφων τους (πρβλ. απόφαση της 9ης Μαρτίου 2017, Manni, C‑398/15, EU:C:2017:197, σκέψη 43).
110 Συνεπώς, προκύπτει ότι η επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία διενεργείται όντως επ’ ευκαιρία της εκτέλεσης καθήκοντος προς το δημόσιο συμφέρον κατά την έννοια της προαναφερθείσας διατάξεως. Εντούτοις, προκειμένου να πληρούνται οι προϋποθέσεις της διατάξεως αυτής, είναι απαραίτητο η επεξεργασία να εξυπηρετεί πράγματι τους επιδιωκόμενους σκοπούς γενικού συμφέροντος, χωρίς να βαίνει πέραν του μέτρου που είναι αναγκαίο για την επίτευξή τους [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 109].
111 Η εν λόγω απαίτηση αναγκαιότητας δεν πληρούται όταν ο επιδιωκόμενος σκοπός γενικού συμφέροντος μπορεί ευλόγως να επιτευχθεί κατά τρόπο εξίσου αποτελεσματικό με άλλα μέσα τα οποία θίγουν σε μικρότερο βαθμό τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων, ιδίως δε τα δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, δεδομένου ότι οι παρεκκλίσεις και οι περιορισμοί όσον αφορά την αρχή της προστασίας τέτοιων δεδομένων δεν πρέπει να υπερβαίνουν το αυστηρά αναγκαίο μέτρο [πρβλ. απόφαση της 22ας Ιουνίου 2021, Latvijas Republikas Saeima (Βαθμοί ποινής), C‑439/19, EU:C:2021:504, σκέψη 110 και εκεί μνημονευόμενη νομολογία].
112 Όπως όμως παρατήρησε η γενική εισαγγελέας στο σημείο 51 των προτάσεών της, η παροχή στο κοινό διαδικτυακής πρόσβασης σε δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων ούτε από την οδηγία 2017/1132 ούτε από το εθνικό δίκαιο δεν είναι δυνατόν να θεωρηθεί καθ’ εαυτήν αναγκαία για την επίτευξη των σκοπών που επιδιώκει η οδηγία.
113 Ειδικότερα, ως προς την ύπαρξη μέσων που θίγουν σε μικρότερο βαθμό τα θεμελιώδη δικαιώματα των υποκειμένων των δεδομένων, διαπιστώνεται ότι η επίμαχη στην υπόθεση της κύριας δίκης εθνική νομοθεσία προβλέπει ότι ο αιτών την καταχώριση της εταιρίας στο εμπορικό μητρώο οφείλει να προσκομίσει αντίγραφο της συστατικής πράξεως της εταιρίας από το οποίο έχουν απαλειφθεί τα μη απαιτούμενα προσωπικά δεδομένα, προοριζόμενο να δημοσιευθεί στο μητρώο και προσβάσιμο σε τρίτους, αντίγραφο που, εν προκειμένω, ουδέποτε παρασχέθηκε στην Υπηρεσία, ακόμη και κατόπιν σχετικού αιτήματός της. Εντούτοις, η Βουλγαρική Κυβέρνηση και η Υπηρεσία επιβεβαίωσαν ότι, ακόμη και αφού έχει παρέλθει εύλογο χρονικό διάστημα και ο ενδιαφερόμενος δεν είναι σε θέση να λάβει από την οικεία εταιρία ή τους εκπροσώπους της τέτοιο αντίγραφο, η εθνική νομοθεσία δεν προβλέπει ότι η Υπηρεσία μπορεί να το καταρτίσει η ίδια, παρότι τούτο θα αποτελούσε εξίσου αποτελεσματικό μέσο για την επίτευξη των σκοπών της διασφάλισης της δημοσιότητας των πράξεων των εταιριών καθώς και της διαφύλαξης της ασφάλειας δικαίου και της προστασίας των συμφερόντων των τρίτων, ενώ θα έθιγε σε μικρότερο βαθμό το δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα.
114 Πρέπει επίσης να επισημανθεί ότι, όπως παρατήρησε και η γενική εισαγγελέας στο σημείο 56 των προτάσεών της, αντιθέτως προς τα όσα υποστήριξαν διάφορα κράτη μέλη με τις παρατηρήσεις τους ενώπιον του Δικαστηρίου, η απαίτηση διαφύλαξης της ακεραιότητας και της αξιοπιστίας των πράξεων των εταιριών που υπόκεινται στην προβλεπόμενη από την οδηγία 2017/1132 υποχρεωτική δημοσιότητα, η οποία επιτάσσει τη δημοσίευση των πράξεων αυτών όπως κοινοποιούνται στις αρμόδιες για την τήρηση του εμπορικού μητρώου αρχές, δεν μπορεί να υπερισχύει συστηματικά του προαναφερθέντος δικαιώματος, διότι άλλως η προστασία του θα καθίστατο φενάκη.
115 Πιο συγκεκριμένα, δεν είναι δυνατόν να επιβάλλεται, κατ’ επίκληση της απαιτήσεως αυτής, η διατήρηση της διαδικτυακής πρόσβασης του κοινού, μέσω του εμπορικού μητρώου, σε δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την οδηγία 2017/1132 ή από το εθνικό δίκαιο, τη στιγμή που, όπως προκύπτει από τη σκέψη 113 της παρούσας αποφάσεως, η Υπηρεσία θα μπορούσε να καταρτίσει η ίδια το προβλεπόμενο από την εθνική νομοθεσία αντίγραφο της πράξεως της εταιρίας, για να το καταστήσει προσβάσιμο στο κοινό.
116 Επομένως, η επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία δεδομένων προσωπικού χαρακτήρα φαίνεται, εν πάση περιπτώσει, να βαίνει πέραν του αναγκαίου μέτρου για την εκπλήρωση της αποστολής δημοσίου συμφέροντος που έχει ανατεθεί στην Υπηρεσία από την εθνική νομοθεσία.
117 Κατά συνέπεια, όπως παρατήρησε η γενική εισαγγελέας στο σημείο 59 των προτάσεών της, υπό την επιφύλαξη των ελέγχων στους οποίους οφείλει να προβεί το αιτούν δικαστήριο, η επεξεργασία αυτή δεν φαίνεται να πληροί ούτε τις προϋποθέσεις νομιμότητας οι οποίες προβλέπονται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχεία γʹ και εʹ, σε συνδυασμό με το άρθρο 6, παράγραφος 3, του ΓΚΠΔ.
118 Σε ένα δεύτερο στάδιο, όσον αφορά την επίμαχη στην υπόθεση της κύριας δίκης αίτηση διαγραφής δυνάμει του άρθρου 17 του ΓΚΠΔ, διαπιστώνεται ότι, σε περίπτωση που το αιτούν δικαστήριο καταλήξει, κατόπιν της εκτιμήσεώς του επί της νομιμότητας της επεξεργασίας, στο συμπέρασμα ότι αυτή δεν είναι σύννομη, εναπόκειται στην Υπηρεσία, η οποία, όπως προκύπτει από τις σκέψεις 82 και 83 της παρούσας αποφάσεως, έχει την ιδιότητα του υπευθύνου επεξεργασίας, να διαγράψει τα εν λόγω δεδομένα χωρίς αδικαιολόγητη καθυστέρηση, όπως ορίζει το σαφές γράμμα του άρθρου 17, παράγραφος 1, στοιχείο δʹ, του ΓΚΠΔ [πρβλ. απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψη 108].
119 Σε περίπτωση, αντιθέτως, που το αιτούν δικαστήριο καταλήξει στο συμπέρασμα ότι συντρέχει πράγματι, ως προς την επεξεργασία αυτή, ο λόγος νομιμότητας ο οποίος προβλέπεται στο άρθρο 6, παράγραφος 1, στοιχείο εʹ, του ΓΚΠΔ, ιδίως αν κριθεί ότι η παροχή στο κοινό διαδικτυακής πρόσβασης, μέσω του εμπορικού μητρώου, σε δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την οδηγία 2017/1132 ή από την επίμαχη στην υπόθεση της κύριας δίκης εθνική νομοθεσία ήταν αναγκαία προκειμένου να αποφευχθεί η καθυστέρηση της καταχώρισης της εταιρίας, προς το συμφέρον της προστασίας των τρίτων, διαπιστώνεται ότι θα τύγχανε εφαρμογής το άρθρο 17, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ.
120 Από την τελευταία διάταξη, σε συνδυασμό με το άρθρο 21, παράγραφος 1, του ΓΚΠΔ, προκύπτει ότι το υποκείμενο των δεδομένων έχει δικαίωμα να εναντιωθεί στην επεξεργασία και δικαίωμα να διαγραφούν τα δεδομένα του, εκτός αν υπάρχουν επιτακτικοί και νόμιμοι λόγοι που υπερισχύουν των συμφερόντων του καθώς και των δικαιωμάτων και των ελευθεριών του κατά την έννοια του ως άνω άρθρου 21, όπερ οφείλει να αποδείξει ο υπεύθυνος επεξεργασίας [απόφαση της 7ης Δεκεμβρίου 2023, SCHUFA Holding (Πτωχευτική απαλλαγή), C‑26/22 και C‑64/22, EU:C:2023:958, σκέψη 111].
121 Πάντως, σε μια περίπτωση όπως η επίμαχη στην κύρια δίκη, δεν φαίνεται να υπάρχουν επιτακτικοί και νόμιμοι λόγοι, κατά την έννοια της διατάξεως αυτής, οι οποίοι να μπορούν να αντιταχθούν σε τέτοια αίτηση διαγραφής.
122 Πράγματι, αφενός, από την απόφαση περί παραπομπής προκύπτει ότι η εταιρία στην οποία είναι εταίρος η OL έχει ήδη καταχωριστεί στο εμπορικό μητρώο.
123 Αφετέρου, όπως προεκτέθηκε στη σκέψη 115 της παρούσας αποφάσεως, δεν είναι δυνατόν κατ’ επίκληση της απαιτήσεως διαφύλαξης της ακεραιότητας και της αξιοπιστίας των πράξεων των εταιριών που υπόκεινται στην προβλεπόμενη από την οδηγία 2017/1132 υποχρεωτική δημοσιότητα να επιβάλλεται η διατήρηση της διαδικτυακής πρόσβασης του κοινού, μέσω του εμπορικού μητρώου, σε δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την οδηγία αυτή ή από το εθνικό δίκαιο.
124 Τέλος, ακόμη και αν υποτεθεί ότι το αιτούν δικαστήριο καταλήξει στο συμπέρασμα ότι συντρέχει πράγματι ως προς την επίμαχη στην υπόθεση της κύριας δίκης επεξεργασία προσωπικών δεδομένων ο λόγος νομιμότητας ο οποίος προβλέπεται στο άρθρο 6, παράγραφος 1, στοιχείο γʹ, του ΓΚΠΔ, διαπιστώνεται ότι ο ΓΚΠΔ, και πιο συγκεκριμένα το άρθρο του 17, παράγραφος 3, στοιχείο βʹ, καθιερώνει ρητώς την απαίτηση στάθμισης μεταξύ, αφενός, των θεμελιωδών δικαιωμάτων στον σεβασμό της ιδιωτικής ζωής και στην προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, και, αφετέρου, των σκοπών που θεμιτώς επιδιώκονται από το δίκαιο της Ένωσης ή από το δίκαιο των κρατών μελών στο οποίο βασίζεται η έννομη υποχρέωση για την τήρηση της οποίας είναι αναγκαία η επεξεργασία [βλ., κατ’ αναλογίαν, απόφαση της 8ης Δεκεμβρίου 2022, Google (Διαγραφή συνδέσμων προς φερόμενο ως ανακριβές περιεχόμενο, C‑460/20, EU:C:2022:962, σκέψη 58 και εκεί μνημονευόμενη νομολογία].
125 Όπως έχει αποφανθεί το Δικαστήριο, ενδέχεται να δικαιολογείται, κατά περίπτωση, για υπέρτερους και νόμιμους λόγους συνδεόμενους με την ιδιαίτερη κατάσταση των υποκειμένων των δεδομένων το να περιορίζεται η πρόσβαση στα δεδομένα τους προσωπικού χαρακτήρα τα οποία υπόκεινται, βάσει του ενωσιακού δικαίου, σε υποχρεωτική δημοσιότητα, και να αναγνωρίζεται δυνατότητα πρόσβασης σε αυτά μόνον υπέρ των τρίτων που έχουν ειδικό συμφέρον (πρβλ. απόφαση της 9ης Μαρτίου 2017, Manni, C‑398/15, EU:C:2017:197, σκέψη 60).
126 Όπως επισήμανε η γενική εισαγγελέας στο σημείο 67 των προτάσεών της, το ίδιο πρέπει να ισχύει, κατά μείζονα λόγο, σε περίπτωση που, όπως εν προκειμένω, τα οικεία δεδομένα προσωπικού χαρακτήρα δεν είναι μεταξύ των απαιτούμενων ούτε από την οδηγία 2017/1132 ούτε από το εθνικό δίκαιο.
127 Λαμβανομένων υπόψη των ανωτέρω στοιχείων, στο τέταρτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι η οδηγία 2017/1132, και ειδικότερα το άρθρο της 16, καθώς και το άρθρο 17 του ΓΚΠΔ έχουν την έννοια ότι δεν επιτρέπουν νομοθεσία ή πρακτική κράτους μέλους κατ’ εφαρμογήν της οποίας η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου του κράτους μέλους αυτού απορρίπτει κάθε αίτηση διαγραφής δεδομένων προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την ως άνω οδηγία ή από το δίκαιο του εν λόγω κράτους μέλους, αλλά περιλαμβάνονται σε εταιρική σύμβαση δημοσιευόμενη στο μητρώο, εφόσον δεν έχει παρασχεθεί στην αρμόδια αρχή, αντιθέτως προς τους διαδικαστικούς κανόνες που προβλέπονται από την εθνική νομοθεσία, αντίγραφο της σύμβασης από το οποίο να έχουν απαλειφθεί τα προαναφερθέντα δεδομένα.
Επί του έκτου προδικαστικού ερωτήματος
128 Με το έκτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 4, σημείο 1, του ΓΚΠΔ έχει την έννοια ότι η ιδιόχειρη υπογραφή φυσικού προσώπου εμπίπτει στα «δεδομένα προσωπικού χαρακτήρα» όπως ορίζονται στη διάταξη αυτή.
129 Σύμφωνα με την εν λόγω διάταξη, ως δεδομένο προσωπικού χαρακτήρα νοείται «κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο», ενώ διευκρινίζεται ότι «ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου».
130 Το Δικαστήριο έχει κρίνει επ’ αυτού ότι η χρήση της φράσης «κάθε πληροφορία» στον ορισμό της έννοιας των «δεδομένων προσωπικού χαρακτήρα» ο οποίος περιλαμβάνεται στην ως άνω διάταξη αντικατοπτρίζει τον σκοπό του ενωσιακού νομοθέτη να προσδώσει ευρύ νόημα στην έννοια, ώστε να καλύπτει δυνητικά κάθε είδος πληροφοριών, τόσο αντικειμενικών όσο και υποκειμενικών, με τη μορφή γνώμης ή εκτίμησης, υπό την προϋπόθεση ότι οι πληροφορίες «αφορούν» το συγκεκριμένο πρόσωπο (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 23).
131 Η πληροφορία αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο όταν, λόγω του περιεχομένου της, του σκοπού της ή του αποτελέσματός της, συνδέεται με ταυτοποιήσιμο πρόσωπο (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 24).
132 Ως προς τη δυνατότητα «ταυτοποίησης» φυσικού προσώπου, η αιτιολογική σκέψη 26 του ΓΚΠΔ καθιστά σαφές ότι πρέπει να λαμβάνονται υπόψη «όλα τα μέσα τα οποία είναι ευλόγως πιθανό ότι θα χρησιμοποιηθούν, όπως για παράδειγμα ο διαχωρισμός του, είτε από τον υπεύθυνο επεξεργασίας είτε από τρίτο για την άμεση ή έμμεση εξακρίβωση της ταυτότητας του φυσικού προσώπου».
133 Επομένως, ο ευρύς ορισμός της έννοιας των «δεδομένων προσωπικού χαρακτήρα» δεν καλύπτει μόνον τα δεδομένα τα οποία συλλέγονται και διατηρούνται από τον υπεύθυνο επεξεργασίας, αλλά καταλαμβάνει και όλες τις πληροφορίες που προκύπτουν από επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία αφορούν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο (απόφαση της 4ης Μαΐου 2023, Österreichische Datenschutzbehörde και CRIF, C‑487/21, EU:C:2023:369, σκέψη 26).
134 Από τη νομολογία του Δικαστηρίου προκύπτει επίσης ότι η ιδιόχειρη υπογραφή φυσικού προσώπου παρέχει πληροφορία που το αφορά (πρβλ. απόφαση της 20ής Δεκεμβρίου 2017, Nowak, C‑434/16, EU:C:2017:994, σκέψη 37).
135 Τέλος, επισημαίνεται ότι η ιδιόχειρη υπογραφή φυσικού προσώπου χρησιμοποιείται, γενικώς, για την ταυτοποίησή του, για να προσδώσει αποδεικτική αξία, όσον αφορά την ακρίβεια και την ειλικρίνειά τους, στα έγγραφα επί των οποίων τίθεται ή για αναληφθεί η ευθύνη σε σχέση με αυτά. Εξάλλου, προκύπτει ότι, στην επίδικη εταιρική σύμβαση, η υπογραφή των εταίρων συνοδεύει το ονοματεπώνυμό τους.
136 Λαμβανομένων υπόψη των ανωτέρω, στο έκτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 4, σημείο 1, του ΓΚΠΔ έχει την έννοια ότι η ιδιόχειρη υπογραφή φυσικού προσώπου εμπίπτει στα «δεδομένα προσωπικού χαρακτήρα» όπως ορίζονται στη διάταξη αυτή.
Επί του εβδόμου προδικαστικού ερωτήματος
137 Με το έβδομο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι η περιορισμένης διάρκειας απώλεια, από το υποκείμενο των δεδομένων, του ελέγχου επί των προσωπικών του δεδομένων επειδή αυτά καθίστανται προσβάσιμα διαδικτυακώς στο κοινό μέσω του εμπορικού μητρώου κράτους μέλους μπορεί να αρκεί για να προκληθεί «μη υλική ζημία» ή αν η έννοια της «μη υλικής ζημίας» απαιτεί την απόδειξη της ύπαρξης πρόσθετων απτών επιπτώσεων.
138 Εισαγωγικώς, υπενθυμίζεται ότι η εν λόγω διάταξη προβλέπει ότι «[κ]άθε πρόσωπο το οποίο υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του [ΓΚΠΔ] δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία που υπέστη».
139 Εφόσον δε ο ΓΚΠΔ δεν παραπέμπει στο δίκαιο των κρατών μελών όσον αφορά τη σημασία και το περιεχόμενο των όρων που χρησιμοποιούνται στην ως άνω διάταξη, και δη των φράσεων «υλική ή μη υλική ζημία» και «αποζημίωση […] για τη ζημία που υπέστη», γίνεται δεκτό ότι, για τους σκοπούς της εφαρμογής του ΓΚΠΔ, πρόκειται για αυτοτελείς έννοιες του ενωσιακού δικαίου, οι οποίες πρέπει να ερμηνεύονται ομοιόμορφα στο σύνολο των κρατών μελών [πρβλ. απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 30].
140 Στο πλαίσιο αυτό, το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι η απλή παραβίαση του κανονισμού αυτού δεν αρκεί για τη θεμελίωση δικαιώματος αποζημίωσης, δεδομένου ότι η ύπαρξη υλικής ή μη υλικής «ζημίας» ή «βλάβης» την οποία πρέπει να «υπέστη» το υποκείμενο των δεδομένων συνιστά μία από τις προϋποθέσεις γένεσης του δικαιώματος αποζημίωσης που προβλέπεται στο άρθρο 82, παράγραφος 1, από κοινού με τη διαπίστωση παραβίασης του ΓΚΠΔ και την ύπαρξη αιτιώδους συνάφειας μεταξύ ζημίας και παραβίασης, προϋποθέσεις οι οποίες πρέπει να συντρέχουν σωρευτικώς [αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 32, και της 11ης Απριλίου 2024, juris, C‑741/21, EU:C:2024:288, σκέψη 34].
141 Συνεπώς, το πρόσωπο που ζητεί δυνάμει της προαναφερθείσας διατάξεως αποζημίωση ή ικανοποίηση ηθικής βλάβης οφείλει να αποδείξει όχι μόνον την παράβαση των διατάξεων του ΓΚΠΔ, αλλά και το γεγονός ότι η παράβαση αυτή του προκάλεσε τέτοια ζημία ή βλάβη. Ως εκ τούτου, η ζημία ή η βλάβη δεν μπορεί να τεκμαίρεται μόνον από την επέλευση της παραβάσεως [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψεις 42 και 50, καθώς και της 11ης Απριλίου 2024, juris, C‑741/21, EU:C:2024:288, σκέψη 35].
142 Ειδικότερα, το πρόσωπο που θίγεται από παραβίαση του ΓΚΠΔ η οποία είχε αρνητικές για το ίδιο συνέπειες οφείλει να αποδείξει ότι οι συνέπειες αυτές στοιχειοθετούν μη υλική ζημία, κατά την έννοια του άρθρου 82 του ΓΚΠΔ, δεδομένου ότι η απλή παράβαση των διατάξεων του κανονισμού δεν αρκεί προς θεμελίωση δικαιώματος αποζημίωσης (απόφαση της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, σκέψη 60 και εκεί μνημονευόμενη νομολογία).
143 Επομένως, όταν ένα πρόσωπο που ζητεί αποζημίωση επί της βάσεως του άρθρου 82, παράγραφος 1, του ΓΚΠΔ επικαλείται τον φόβο ότι τα προσωπικού χαρακτήρα δεδομένα του θα χρησιμοποιηθούν καταχρηστικά στο μέλλον εξαιτίας της παράβασης αυτής, το επιληφθέν εθνικό δικαστήριο οφείλει να ελέγξει αν ο φόβος αυτός μπορεί να θεωρηθεί βάσιμος, υπό τις συγκεκριμένες περιστάσεις και σε σχέση με το συγκεκριμένο πρόσωπο (απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 85).
144 Το Δικαστήριο έχει κρίνει πάντως ότι προκύπτει όχι μόνον από το γράμμα του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, ερμηνευόμενο υπό το πρίσμα των αιτιολογικών σκέψεων 85 και 146 του κανονισμού, κατά τις οποίες πρέπει να δίνεται ευρεία ερμηνεία στον όρο «μη υλική ζημία» κατά την έννοια της ως άνω διατάξεως, αλλά και από τον σκοπό του ΓΚΠΔ, ο οποίος συνίσταται στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν, ότι ο φόβος τον οποίο αισθάνεται, σε συνέχεια παράβασης των διατάξεων του κανονισμού, το υποκείμενο δεδομένων προσωπικού χαρακτήρα για ενδεχόμενη κατάχρηση των δεδομένων του από τρίτους, μπορεί να συνιστά, αυτός καθ’ εαυτόν, «μη υλική ζημία» κατά την έννοια του άρθρου 82, παράγραφος 1, του ΓΚΠΔ [απόφαση της 20ής Ιουνίου 2024, PS (Εσφαλμένη διεύθυνση), C‑590/22, EU:C:2024:536, σκέψη 32 και εκεί μνημονευόμενη νομολογία].
145 Ειδικότερα, από την πρώτη φράση της αιτιολογικής σκέψης 85 του ΓΚΠΔ και τις εκεί ενδεικτικώς αναφερόμενες «ζημίες» ή «βλάβες» που μπορεί να υποστούν τα υποκείμενα των δεδομένων προκύπτει ότι ο ενωσιακός νομοθέτης θέλησε να περιλάβει στις έννοιες της «ζημίας» και της «βλάβης» τις οποίες ενδέχεται να υποστούν τα υποκείμενα των δεδομένων την απλή «απώλεια ελέγχου» επί των προσωπικών τους δεδομένων σε συνέχεια παράβασης των διατάξεων του κανονισμού, ακόμη και αν τα επίμαχα δεδομένα δεν χρησιμοποιηθούν καταχρηστικά σε συγκεκριμένη περίπτωση (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 82).
146 Επιπλέον, τυχόν ερμηνεία του άρθρου 82, παράγραφος 1, του ΓΚΠΔ υπό την έννοια ότι ο όρος «μη υλική ζημία» κατά τη διάταξη αυτή δεν περιλαμβάνει τις περιπτώσεις στις οποίες το υποκείμενο των δεδομένων επικαλείται μόνον τον φόβο του ότι τα προσωπικά του δεδομένα θα χρησιμοποιηθούν καταχρηστικά από τρίτους στο μέλλον δεν θα ήταν σύμφωνη με την επιδιωκόμενη από τον κανονισμό διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης (απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 83).
147 Ομοίως, η έννοια αυτή δεν είναι δυνατόν να περιορίζεται μόνο στις ζημίες ή στις ζημίες ορισμένης σοβαρότητας, ιδίως όσον αφορά τη διάρκεια της περιόδου κατά την οποία τα υποκείμενα των δεδομένων υπέστησαν τις αρνητικές συνέπειες της παραβάσεως των διατάξεων του κανονισμού (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, σκέψεις 16 και 19 και εκεί μνημονευόμενη νομολογία).
148 Συνεπώς, δεν μπορεί να γίνει δεκτό ότι, πέραν των τριών προϋποθέσεων που προαναφέρθηκαν στη σκέψη 140 της παρούσας αποφάσεως, μπορούν να προστεθούν και άλλες προϋποθέσεις για τη στοιχειοθέτηση της ευθύνης που προβλέπεται στο άρθρο 82, παράγραφος 1, του ΓΚΠΔ, όπως ο απτός χαρακτήρας της ζημίας ή ο αντικειμενικός χαρακτήρας της προσβολής (απόφαση της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, σκέψη 17).
149 Πέραν τούτου, εφόσον στοιχειοθετείται παράβαση των διατάξεων του κανονισμού, το άρθρο 82, παράγραφος 1, του ΓΚΠΔ δεν απαιτεί, για τη γένεση δικαιώματος αποζημίωσης, να υπερβαίνει η ζημία την οποία επικαλείται το υποκείμενο των δεδομένων ένα «ελάχιστο κατώτατο όριο» (απόφαση της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, σκέψη 18).
150 Κατά συνέπεια, μολονότι ουδόλως αποκλείεται η δημοσίευση στο διαδίκτυο δεδομένων προσωπικού χαρακτήρα και η συνακόλουθη απώλεια του ελέγχου επ’ αυτών για σύντομο χρονικό διάστημα να μπορούν να προκαλέσουν στα υποκείμενα των δεδομένων «μη υλική ζημία», κατά την έννοια του άρθρου 82, παράγραφος 1, του ΓΚΠΔ, η οποία να θεμελιώνει δικαίωμα αποζημίωσης, εντούτοις πρέπει επιπλέον τα υποκείμενα των δεδομένων να αποδείξουν ότι υπέστησαν πράγματι τέτοια ζημία, όσο ελάχιστη και αν είναι (πρβλ. αποφάσεις της 14ης Δεκεμβρίου 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, σκέψη 22, και της 11ης Απριλίου 2024, juris, C‑741/21, EU:C:2024:288, σκέψη 42).
151 Τέλος, διευκρινίζεται ότι, κατά τον καθορισμό του ποσού της αποζημίωσης που οφείλεται δυνάμει του δικαιώματος αποκατάστασης μη υλικής ζημίας, μια τέτοια ζημία η οποία έχει προκληθεί από παραβίαση δεδομένων προσωπικού χαρακτήρα δεν είναι, ως εκ της φύσεώς της, λιγότερο σημαντική από σωματική βλάβη (απόφαση της 20ής Ιουνίου 2024, Scalable Capital, C‑182/22 και C‑189/22, EU:C:2024:531, σκέψη 39).
152 Εφόσον το υποκείμενο των δεδομένων αποδείξει ότι η παραβίαση του ΓΚΠΔ τού προκάλεσε υλική ή μη υλική ζημία, κατά την έννοια του άρθρου 82 του κανονισμού, τα κριτήρια υπολογισμού της οφειλόμενης αποζημίωσης στο πλαίσιο μέσων έννομης προστασίας τα οποία αποσκοπούν στην κατοχύρωση των δικαιωμάτων που αντλούν οι πολίτες από το συγκεκριμένο άρθρο καθορίζονται από την έννομη τάξη κάθε κράτους μέλους, υπό την προϋπόθεση ότι η αποζημίωση είναι πλήρης και ουσιαστική (πρβλ. απόφαση της 20ής Ιουνίου 2024, Scalable Capital, C‑182/22 και C‑189/22, EU:C:2024:531, σκέψη 43).
153 Το δε δικαίωμα αποζημίωσης το οποίο προβλέπεται από το άρθρο 82, παράγραφος 1, του ΓΚΠΔ, ιδίως σε περίπτωση μη υλικής ζημίας, επιτελεί αποκλειστικώς αντισταθμιστική λειτουργία, υπό την έννοια ότι η χρηματική αποκατάσταση η οποία στηρίζεται στη διάταξη αυτή πρέπει να καθιστά δυνατή την πλήρη ανόρθωση της ζημίας που προκλήθηκε συγκεκριμένα από το γεγονός της παραβίασης του κανονισμού, ενώ δεν έχει αντιθέτως αποτρεπτικό ή τιμωρητικό χαρακτήρα [πρβλ. αποφάσεις της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψεις 57 και 58, καθώς και της 11ης Απριλίου 2024, juris, C‑741/21, EU:C:2024:288, σκέψη 61].
154 Εξάλλου, αφενός, η στοιχειοθέτηση ευθύνης του υπευθύνου επεξεργασίας δυνάμει του άρθρου 82 του ΓΚΠΔ εξαρτάται από την ύπαρξη υπαιτιότητάς του, η οποία τεκμαίρεται, εκτός αν αυτός αποδείξει ότι δεν μπορεί να του καταλογιστεί καμία ευθύνη για το ζημιογόνο γεγονός, και, αφετέρου, το εν λόγω άρθρο 82 δεν απαιτεί να λαμβάνεται υπόψη ο βαθμός υπαιτιότητας κατά τον καθορισμό του ποσού της αποζημίωσης που επιδικάζεται για αποκατάσταση μη υλικής ζημίας βάσει της ίδιας διατάξεως (αποφάσεις της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, σκέψη 103, και της 25ης Ιανουαρίου 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, σκέψη 52).
155 Εν προκειμένω, όπως προεκτέθηκε στη σκέψη 42 της παρούσας αποφάσεως, το αιτούν δικαστήριο κατέστησε σαφές ότι το Administrativen sad Dobrich (διοικητικό πρωτοδικείο Dobrich) είχε διαπιστώσει την ύπαρξη μη υλικής ζημίας συνιστάμενης σε αρνητικές ψυχολογικές και συναισθηματικές εμπειρίες που βίωσε η OL, ήτοι στον φόβο και την ανησυχία της για ενδεχόμενες καταχρήσεις, καθώς και στο αίσθημα ανημπόριας και την απογοήτευσή της λόγω της αδυναμίας προστασίας των προσωπικών της δεδομένων. Αποφάνθηκε επίσης ότι η ζημία αυτή οφείλεται στο από 26 Ιανουαρίου 2022 έγγραφο της Υπηρεσίας, λόγω του οποίου στοιχειοθετείται προσβολή του κατοχυρωμένου στο άρθρο 17, παράγραφος 1, του ΓΚΠΔ δικαιώματος διαγραφής αλλά και παράνομη επεξεργασία των προσωπικών δεδομένων της OL που περιλαμβάνονταν στην επίδικη εταιρική σύμβαση η οποία κατέστη δημοσίως προσβάσιμη.
156 Λαμβανομένων υπόψη των ανωτέρω, στο έβδομο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 1, του ΓΚΠΔ έχει την έννοια ότι η περιορισμένης διάρκειας απώλεια, από το υποκείμενο των δεδομένων, του ελέγχου επί των προσωπικών του δεδομένων επειδή αυτά καθίστανται προσβάσιμα διαδικτυακώς στο κοινό μέσω του εμπορικού μητρώου κράτους μέλους μπορεί να αρκεί για να προκληθεί «μη υλική ζημία» εφόσον το υποκείμενο των δεδομένων αποδείξει ότι υπέστη πράγματι τέτοια ζημία, όσο ασήμαντη και αν είναι, χωρίς να απαιτείται, για τη διαπίστωση «μη υλικής ζημίας», η τεκμηρίωση της ύπαρξης πρόσθετων απτών επιπτώσεων.
Επί του ογδόου προδικαστικού ερωτήματος
157 Με το όγδοο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 82, παράγραφος 3, του ΓΚΠΔ έχει την έννοια ότι γνώμη της εποπτικής αρχής κράτους μέλους, η οποία εκδίδεται βάσει του άρθρου 58, παράγραφος 3, στοιχείο βʹ, του ΓΚΠΔ, αρκεί για να απαλλαγεί από την ευθύνη την οποία φέρει δυνάμει του άρθρου 82, παράγραφος 2, του ΓΚΠΔ η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου του κράτους μέλους αυτού και έχει την ιδιότητα του «υπευθύνου επεξεργασίας» κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ.
158 Κατά πρώτον, όσον αφορά το σύστημα ευθύνης το οποίο καθιερώνει το άρθρο 82 του ΓΚΠΔ, υπενθυμίζεται ότι η παράγραφος 1 του άρθρου αυτού ορίζει ότι κάθε πρόσωπο που υπέστη υλική ή μη υλική ζημία ως αποτέλεσμα παραβίασης του ΓΚΠΔ δικαιούται αποζημίωση από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για τη ζημία την οποία υπέστη. Όπως προκύπτει από τη σκέψη 140 της παρούσας αποφάσεως, το εν λόγω δικαίωμα αποζημιώσεως εξαρτάται από τη συνδρομή τριών σωρευτικών προϋποθέσεων.
159 Κατά το άρθρο 82, παράγραφος 2, πρώτη περίοδος, του ΓΚΠΔ, κάθε υπεύθυνος επεξεργασίας που συμμετέχει στην επεξεργασία είναι υπεύθυνος για τη ζημία την οποία προκάλεσε η εκ μέρους του επεξεργασία η οποία συνιστά παραβίαση του κανονισμού. Η διάταξη αυτή, η οποία αποσαφηνίζει το καθεστώς ευθύνης το οποίο θεσπίζεται κατ’ αρχήν στην παράγραφο 1 του ίδιου άρθρου, επαναλαμβάνει τις τρεις αναγκαίες προϋποθέσεις για τη γένεση του δικαιώματος αποζημιώσεως, ήτοι την ύπαρξη, πρώτον, επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά παράβαση των διατάξεων του ΓΚΠΔ, δεύτερον, υλικής ή μη ζημίας την οποία υφίσταται το υποκείμενο των δεδομένων καθώς και, τρίτον, αιτιώδους συνάφειας μεταξύ της παράνομης επεξεργασίας και της ζημίας [απόφαση της 4ης Μαΐου 2023, Österreichische Post (Μη υλική ζημία λόγω της επεξεργασίας δεδομένων προσωπικού χαρακτήρα), C‑300/21, EU:C:2023:370, σκέψη 36].
160 Το άρθρο 82, παράγραφος 3, του ΓΚΠΔ ορίζει, από την πλευρά του, ότι ο υπεύθυνος επεξεργασίας απαλλάσσεται από την ευθύνη την οποία φέρει δυνάμει της παραγράφου 2, εφόσον αποδείξει ότι δεν μπορεί να του καταλογιστεί καμία ευθύνη για το ζημιογόνο γεγονός.
161 Όπως έχει κρίνει το Δικαστήριο, από τη συνδυασμένη ανάλυση των παραγράφων 1 έως 3 του άρθρου 82 του ΓΚΠΔ, του πλαισίου στο οποίο εντάσσεται το άρθρο αυτό και των σκοπών που επιδιώκει ο ενωσιακός νομοθέτης μέσω του κανονισμού προκύπτει ότι το ως άνω άρθρο προβλέπει καθεστώς ευθύνης λόγω πταίσματος, στο πλαίσιο του οποίου το βάρος αποδείξεως δεν φέρει ο ζημιωθείς, αλλά ο υπεύθυνος επεξεργασίας (πρβλ. απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, σκέψεις 94 και 95).
162 Ειδικότερα, δεν θα ήταν σύμφωνη με τον σκοπό της διασφάλισης ενισχυμένης προστασίας των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα τυχόν ερμηνεία υπό την έννοια ότι τα ζημιωθέντα λόγω παραβίασης του ΓΚΠΔ υποκείμενα των δεδομένων θα έπρεπε, στο πλαίσιο αγωγής αποζημίωσης στηριζόμενης στο άρθρο 82 του ΓΚΠΔ, να φέρουν το βάρος να αποδείξουν όχι μόνον την ύπαρξη της παραβίασης και της επακόλουθης ζημίας την οποία υπέστησαν, αλλά και την ύπαρξη πταίσματος του υπευθύνου επεξεργασίας, και δη δόλου ή αμέλειας ως απαιτούμενου βαθμού υπαιτιότητας, μολονότι το ίδιο το άρθρο 82 δεν θέτει τέτοιες απαιτήσεις (απόφαση της 21ης Δεκεμβρίου 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, σκέψη 99).
163 Κατά τη νομολογία που μνημονεύθηκε στη σκέψη 154 της παρούσας αποφάσεως, η στοιχειοθέτηση της ευθύνης του υπευθύνου επεξεργασίας δυνάμει του άρθρου 82 του ΓΚΠΔ εξαρτάται, επομένως, από την ύπαρξη πταίσματος του υπευθύνου επεξεργασίας, το οποίο τεκμαίρεται, εκτός αν ο υπεύθυνος επεξεργασίας αποδείξει ότι δεν μπορεί να του καταλογιστεί καμία ευθύνη για το ζημιογόνο γεγονός.
164 Συναφώς, όπως συνάγεται από τη ρητή προσθήκη της αντωνυμίας «καμία» κατά τη διάρκεια της νομοθετικής διαδικασίας, οι περιστάσεις υπό τις οποίες ο υπεύθυνος επεξεργασίας μπορεί να αξιώσει απαλλαγή από την αστική ευθύνη που υπέχει από το άρθρο 82 του ΓΚΠΔ πρέπει να περιορίζονται αυστηρά στις περιπτώσεις στις οποίες ο υπεύθυνος επεξεργασίας είναι σε θέση να αποδείξει ότι είναι αδύνατον να του καταλογιστεί ευθύνη για τη ζημία (απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 70).
165 Το Δικαστήριο έχει επίσης αποφανθεί ότι, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα από τρίτον, όπως δράστη κυβερνοεπίθεσης, ή από πρόσωπο που ενεργεί υπό την εποπτεία του υπευθύνου επεξεργασίας, ο τελευταίος μπορεί να απαλλαγεί, βάσει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, από την ευθύνη του αποκλειστικώς και μόνον αποδεικνύοντας ότι ουδεμία αιτιώδης συνάφεια υφίσταται μεταξύ της ενδεχόμενης παράβασης της υποχρέωσης προστασίας των δεδομένων την οποία υπέχει από τον κανονισμό και της ζημίας που υπέστη το φυσικό πρόσωπο το οποίο είναι το υποκείμενο των δεδομένων (πρβλ. αποφάσεις της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 72, και της 11ης Απριλίου 2024, juris, C‑741/21, EU:C:2024:288, σκέψη 51).
166 Ως εκ τούτου, προκειμένου ο υπεύθυνος επεξεργασίας να απαλλαγεί, δυνάμει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, από την ευθύνη του, δεν αρκεί να αποδείξει ότι είχε δώσει εντολές στα πρόσωπα που ενεργούσαν υπό την εποπτεία του, κατά την έννοια του άρθρου 29 του κανονισμού, και ότι κάποιο εξ αυτών παρέβη την υποχρέωσή του να ακολουθεί τις εντολές, με αποτέλεσμα να συμβάλει στην επέλευση της επίμαχης ζημίας (πρβλ. απόφαση της 11ης Απριλίου 2024, juris, C‑741/21, EU:C:2024:288, σκέψη 52).
167 Κατά δεύτερον, όσον αφορά τους κανόνες που διέπουν τα αποδεικτικά μέσα, υπενθυμίζεται ότι ο ΓΚΠΔ δεν ορίζει κανόνες σχετικούς με την αποδοχή και την αποδεικτική ισχύ των αποδεικτικών μέσων, τους οποίους θα πρέπει να εφαρμόζουν τα εθνικά δικαστήρια που επιλαμβάνονται αγωγής αποζημίωσης στηριζόμενης στο άρθρο 82 του ΓΚΠΔ. Συνεπώς, ελλείψει σχετικών κανόνων του ενωσιακού δικαίου, εναπόκειται στην έννομη τάξη κάθε κράτους μέλους να καθορίσει τους λεπτομερείς κανόνες άσκησης των αγωγών που αποσκοπούν στη διαφύλαξη των δικαιωμάτων τα οποία αντλούν οι πολίτες από το εν λόγω άρθρο 82 και, πιο συγκεκριμένα, τους κανόνες που διέπουν τα αποδεικτικά μέσα, υπό την επιφύλαξη της τήρησης των αρχών της ισοδυναμίας και της αποτελεσματικότητας (πρβλ. απόφαση της 14ης Δεκεμβρίου 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, σκέψη 60 και εκεί μνημονευόμενη νομολογία).
168 Κατά τρίτον, όσον αφορά γνώμη που εκδίδεται δυνάμει του άρθρου 58, παράγραφος 3, στοιχείο βʹ, του ΓΚΠΔ, υπενθυμίζεται ότι το άρθρο αυτό καθορίζει τις εξουσίες των εποπτικών αρχών.
169 Ειδικότερα, το άρθρο 58 του ΓΚΠΔ παρέχει στις εποπτικές αρχές, με την παράγραφο 1, εξουσίες έρευνας, με την παράγραφο 2, την εξουσία να λαμβάνουν διορθωτικά μέτρα, με την παράγραφο 3, τις εκεί απαριθμούμενες αδειοδοτικές και συμβουλευτικές εξουσίες καθώς και, με την παράγραφο 5, την εξουσία να γνωστοποιούν οποιαδήποτε παραβίαση του κανονισμού στις δικαστικές αρχές και, εφόσον παρίσταται ανάγκη, να κινούν ένδικες διαδικασίες με αντικείμενο την τήρηση της εφαρμογής των διατάξεων του κανονισμού.
170 Μεταξύ δε των εξουσιών που απαριθμούνται στο άρθρο 58, παράγραφος 3, του ΓΚΠΔ, περιλαμβάνεται στο άρθρο 58, παράγραφος 3, στοιχείο βʹ, η εξουσία της εποπτικής αρχής «να εκδίδει, με δική της πρωτοβουλία ή κατόπιν αιτήματος, γνώμες προς το εθνικό κοινοβούλιο, την κυβέρνηση του κράτους μέλους ή, σύμφωνα με το δίκαιο του κράτους μέλους, προς άλλα όργανα και οργανισμούς, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα […]».
171 Από το γράμμα της ως άνω διατάξεως, και δη από τον όρο «γνώμη», προκύπτει σαφώς ότι η έκδοση τέτοιας γνώμης εμπίπτει στις συμβουλευτικές και όχι στις αδειοδοτικές εξουσίες της εποπτικής αρχής.
172 Η χρήση των όρων «γνώμες» και «συμβουλευτικές εξουσίες» υποδηλώνει επίσης ότι γνώμη που εκδίδεται βάσει του άρθρου 58, παράγραφος 3, στοιχείο βʹ, του ΓΚΠΔ δεν είναι, κατά το ενωσιακό δίκαιο, νομικά δεσμευτική.
173 Η αιτιολογική σκέψη 143 του ΓΚΠΔ επιβεβαιώνει την ως άνω ερμηνεία. Εκεί επισημαίνεται ότι «κάθε φυσικό ή νομικό πρόσωπο θα πρέπει να έχει το δικαίωμα πραγματικής προσφυγής ενώπιον του αρμόδιου εθνικού δικαστηρίου κατά απόφασης εποπτικής αρχής η οποία παράγει έννομα αποτελέσματα που αφορούν το εν λόγω πρόσωπο. Οι αποφάσεις αυτές αφορούν ειδικότερα την άσκηση των εξουσιών έρευνας και των διορθωτικών και αδειοδοτικών εξουσιών από την εποπτική αρχή ή τις περιπτώσεις στις οποίες οι καταγγελίες κρίνονται απαράδεκτες ή απορρίπτονται. Ωστόσο, το δικαίωμα πραγματικής προσφυγής δεν καλύπτει μέτρα εποπτικών αρχών που δεν είναι νομικώς δεσμευτικά, όπως οι γνωμοδοτήσεις ή οι συμβουλές που παρέχονται από την εποπτική αρχή».
174 Εφόσον όμως η γνώμη που παρέχεται στον υπεύθυνο επεξεργασίας δεν είναι νομικά δεσμευτική, δεν αρκεί, αυτή και μόνον, για να αποδειχθεί ότι είναι αδύνατον να καταλογιστεί η ευθύνη για τη ζημία στον υπεύθυνο επεξεργασίας, κατά την έννοια της νομολογίας που μνημονεύθηκε στη σκέψη 164 της παρούσας αποφάσεως, ούτε αρκεί, ως εκ τούτου, για να απαλλαγεί υπεύθυνος επεξεργασίας, δυνάμει του άρθρου 82, παράγραφος 3, του ΓΚΠΔ, από την ευθύνη του.
175 Μια τέτοια ερμηνεία του άρθρου 82, παράγραφος 3, του ΓΚΠΔ συνάδει επίσης με τους επιδιωκόμενους από τον ΓΚΠΔ σκοπούς της διασφάλισης υψηλού επιπέδου προστασίας των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα που τα αφορούν καθώς και της κατοχύρωσης της αποτελεσματικής αποκατάστασης της ζημίας την οποία ενδέχεται να υποστούν λόγω πράξεων επεξεργασίας διενεργούμενων κατά παραβίαση του κανονισμού. Πράγματι, αν αρκούσε να επικαλεστεί ο υπεύθυνος επεξεργασίας μια μη νομικώς δεσμευτική γνωμοδότηση για να απαλλαγεί από κάθε ευθύνη και, συνακόλουθα, από κάθε υποχρέωση αποζημίωσης, τότε δεν θα είχε κίνητρο να πράξει ό,τι είναι δυνατό προκειμένου να διασφαλίσει το απαιτούμενο υψηλό επίπεδο προστασίας και να εκπληρώσει τις υποχρεώσεις που επιβάλλει ο κανονισμός.
176 Λαμβανομένων υπόψη των ανωτέρω, στο όγδοο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 82, παράγραφος 3, του ΓΚΠΔ έχει την έννοια ότι γνώμη της εθνικής εποπτικής αρχής κράτους μέλους, η οποία εκδίδεται βάσει του άρθρου 58, παράγραφος 3, στοιχείο βʹ, του ΓΚΠΔ, δεν αρκεί για να απαλλαγεί από την ευθύνη την οποία φέρει δυνάμει του άρθρου 82, παράγραφος 2, του ΓΚΠΔ η αρχή που είναι αρμόδια την τήρηση του εμπορικού μητρώου του κράτους μέλους αυτού και έχει την ιδιότητα του «υπευθύνου επεξεργασίας» κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ.
Επί των δικαστικών εξόδων
177 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (πρώτο τμήμα) αποφαίνεται:
1) Το άρθρο 21, παράγραφος 2, της οδηγίας (ΕΕ) 2017/1132 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 14ης Ιουνίου 2017, σχετικά με ορισμένες πτυχές του εταιρικού δίκαιου,
έχει την έννοια ότι:
δεν συνεπάγεται υποχρέωση κράτους μέλους να επιτρέπει τη δημοσιότητα, στο εμπορικό μητρώο, εταιρικής σύμβασης που υπόκειται στην προβλεπόμενη από την οδηγία υποχρεωτική δημοσιότητα και περιέχει, πέραν των ελάχιστων απαιτούμενων δεδομένων προσωπικού χαρακτήρα, άλλα προσωπικά δεδομένα των οποίων η δημοσίευση δεν επιβάλλεται από το δίκαιο του κράτους μέλους αυτού.
2) Ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), και ειδικότερα το άρθρο του 4, σημεία 7 και 9,
έχει την έννοια ότι:
η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου κράτους μέλους και δημοσιεύει στο μητρώο τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται σε εταιρική σύμβαση η οποία υπόκειται στην προβλεπόμενη από την οδηγία 2017/1132 υποχρεωτική δημοσιότητα και έχει κοινοποιηθεί στην αρμόδια αρχή ενόψει της καταχώρισης της εταιρίας στο μητρώο είναι τόσο «αποδέκτης» των δεδομένων αυτών όσο και, στον βαθμό που τα καθιστά προσβάσιμα στο κοινό, «υπεύθυνος επεξεργασίας» τους, κατά την έννοια της προαναφερθείσας διατάξεως, ακόμη και αν η εταιρική σύμβαση περιέχει δεδομένα προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την οδηγία 2017/1132 ή από το δίκαιο του οικείου κράτους μέλους.
3) Η οδηγία 2017/1132, και πιο συγκεκριμένα το άρθρο της 16, καθώς και το άρθρο 17 του κανονισμού 2016/679
έχουν την έννοια ότι:
δεν επιτρέπουν νομοθεσία ή πρακτική κράτους μέλους κατ’ εφαρμογήν της οποίας η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου του κράτους μέλους αυτού απορρίπτει κάθε αίτηση διαγραφής δεδομένων προσωπικού χαρακτήρα τα οποία δεν είναι μεταξύ των απαιτούμενων από την ως άνω οδηγία ή από το δίκαιο του εν λόγω κράτους μέλους, αλλά περιλαμβάνονται σε εταιρική σύμβαση δημοσιευόμενη στο μητρώο, εφόσον δεν έχει παρασχεθεί στην αρμόδια αρχή, αντιθέτως προς τους διαδικαστικούς κανόνες που προβλέπονται από την εθνική νομοθεσία, αντίγραφο της σύμβασης από το οποίο να έχουν απαλειφθεί τα προαναφερθέντα δεδομένα.
4) Το άρθρο 4, σημείο 1, του κανονισμού 2016/679
έχει την έννοια ότι:
η ιδιόχειρη υπογραφή φυσικού προσώπου εμπίπτει στα «δεδομένα προσωπικού χαρακτήρα» όπως ορίζονται στη διάταξη αυτή.
5) Το άρθρο 82, παράγραφος 1, του κανονισμού 2016/679
έχει την έννοια ότι:
η περιορισμένης διάρκειας απώλεια, από το υποκείμενο των δεδομένων, του ελέγχου επί των προσωπικών του δεδομένων επειδή αυτά καθίστανται προσβάσιμα διαδικτυακώς στο κοινό μέσω του εμπορικού μητρώου κράτους μέλους μπορεί να αρκεί για να προκληθεί «μη υλική ζημία» εφόσον το υποκείμενο των δεδομένων αποδείξει ότι υπέστη πράγματι τέτοια ζημία, όσο ασήμαντη και αν είναι, χωρίς να απαιτείται, για τη διαπίστωση «μη υλικής ζημίας», η τεκμηρίωση της ύπαρξης πρόσθετων απτών επιπτώσεων.
6) Το άρθρο 82, παράγραφος 3, του κανονισμού 2016/679
έχει την έννοια ότι:
γνώμη της εθνικής εποπτικής αρχής κράτους μέλους, η οποία εκδίδεται βάσει του άρθρου 58, παράγραφος 3, στοιχείο βʹ, του ΓΚΠΔ, αρκεί για να απαλλαγεί από την ευθύνη την οποία φέρει δυνάμει του άρθρου 82, παράγραφος 2, του ΓΚΠΔ η αρχή που είναι αρμόδια για την τήρηση του εμπορικού μητρώου του κράτους μέλους αυτού και έχει την ιδιότητα του «υπευθύνου επεξεργασίας» κατά την έννοια του άρθρου 4, σημείο 7, του ΓΚΠΔ.
(υπογραφές)
* Γλώσσα διαδικασίας: η βουλγαρική.
