CJEU: Izbris iz poslovnega registra
Sodišče EU je razsodilo, da agencija, ki vodi poslovni register, ne sme zavrniti zahteve za izbris osebnih podatkov, katerih objava ni predpisana v zakonu.
Odločitev je bila objavljena 4.10.2024
Posameznica, na katero se nanašajo osebni podatki, je delničarka podjetja v Bolgariji. Dne 14. januarja 2021 je bil ustanovni akt družbe poslan Agenciji za registracijo (upravljavec), bolgarskemu organu, ki upravlja poslovni register. Ustanovni akt, ki vsebuje priimek, ime, identifikacijsko številko, številko osebne izkaznice, datum in kraj izdaje te izkaznice ter naslov in podpis posameznikov, je Agencija javno objavila v neanonimizirani obliki.
Posameznica je 8. julija 2021 od upravljavca zahtevala izbris njenih osebnih podatkov, ki so bili objavljeni v tem aktu. Da bi izpolnil to zahtevo, je upravljavec 26. januarja 2022 od posameznice zahteval, da predloži kopijo akta zgolj z osebnimi podatki, ki jih zahteva zakon.
31. januarja 2022 je posameznica vložila tožbo pri Upravnem sodišču v Dobriču in zahtevala razveljavitev odločitve upravljavca ter povrnitev domnevne nematerialne škode.
5. maja 2022 je to sodišče razveljavilo odločitev in upravljavcu naložilo plačilo odškodnine posameznici v višini 500 BGN (približno 255 €). Sodišče je odločilo, da je škoda sestavljena iz psihičnega in čustvenega trpljenja, torej strahu pred morebitno zlorabo, pa tudi občutka nemoči in razočaranja, da njenih osebnih podatkov ni bilo mogoče zaščititi. Škoda je nastala tudi zaradi odločitve upravljavca, ki je privedla do kršitve pravice do izbrisa in protipravne obdelave njenih podatkov iz ustanovne listine.
Upravljavec se je zoper to sodbo pritožil na Vrhovno upravno sodišče, ki je postopek prekinilo in Sodišču EU predložilo naslednja vprašanja:
Ali je potrebno člen 21(2) Direktive 2017/1132 razlagati tako, da državi članici nalaga obveznost, da v poslovnem registru dovoli razkritje ustanovnega akta družbe, ki je predmet obveznega razkritja v skladu s to direktivo in vsebuje minimalen nabor obveznih osebnih podatkov, katerih razkritje zakonodaja te države članice ne zahteva;
Če da, ali se lahko domneva, da je v obravnavanem primeru obdelava osebnih podatkov s strani upravljavca potrebna za izvajanje nalog v javnem interesu v smislu člena 6(1)(e) GDPR;
Če je odgovor pritrdilen, je lahko nacionalna določba, v skladu s katero je treba v primeru, da vloga za registracijo vsebuje osebne podatke, ki jih zakon ne zahteva, domnevati, da so osebe, ki so te podatke dale na voljo, privolile v njihovo obdelavo in se zagotavljanje javnega dostopa do njih šteje za dopustno;
Ali je treba člen 17 GDPR razlagati tako, da je v nasprotju z zakonodajo ali prakso države članice, zaradi katere organ, pristojen za vodenje poslovnega registra, zavrne vsako zahtevo za izbris osebnih podatkov, ki ni zahtevana z zakonodajo te države članice , objavljenih v registru, če izvod tega seznama, v katerem so bili ti podatki zakriti, ni bil predložen organu, kar je v nasprotju s postopkovnimi pravili, ki jih določa navedena zakonodaja;
Ali je potrebno člena 4(7) in 4(9) GDPR razlagati tako, da je organ, odgovoren za vodenje poslovnega registra, ki v tem registru objavi osebne podatke iz ustanovnega akta družbe, ki so predmet obveznega razkritja po Direktivi 2017/1132 in ji je bil posredovan v vlogi za registracijo zadevne družbe v tem registru, hkrati prejemnik in upravljavec teh podatkov v smislu te določbe;
Ali je treba člen 4(1) GDPR razlagati tako, da je lastnoročni podpis fizične osebe zajet v pojmu osebni podatki v smislu te določbe;
Ali je treba člen 82(1) GDPR razlagati tako, da izguba nadzora posameznika nad njegovimi osebnimi podatki za omejeno obdobje zaradi tega, ker so ti podatki na spletu dostopni javnosti v komercialnem registru države članice, lahko zadošča za povzročitev nepremoženjske škode ali nepremoženjska škoda zahteva dokazovanje obstoja dodatnih oprijemljivih škodljivih posledic;
Ali je treba tretji odstavek 82. člena GDPR razlagati tako, da mnenje nadzornega organa države članice, izdano na podlagi člena 58(3)(b) GDPR, zadostuje za oprostitev odgovornosti organa, ki vodi poslovni register (upravljavec) v skladu s členom 82(2) GDPR.
Odločitev sodišča
Prvo vprašanje
Sodišče je odločilo, da člen 21(2) Direktive 2017/1132 državi članici ne nalaga obveznosti v zvezi z razkritjem osebnih podatkov iz ustanovne listine v poslovnem registru, katerih razkritje ni predpisano z nacionalno ali EU zakonodajo, vendar so navedeni v dokumentu, za katerega velja obvezno razkritje v skladu s to direktivo.
Drugo in tretje vprašanje
Glede na odgovor na prvo vprašanje Sodišču EU ni bilo treba odgovoriti na drugo in tretje vprašanje.
Četrto vprašanje
Kar zadeva četrto vprašanje, je sodišče analiziralo, na katero pravno podlago bi se upravljavec lahko oprl za izpostavljeno dejavnost obdelave.
Člen 13(9) bolgarskega zakona o registrih določa domnevo, da prosilec poda soglasje za obdelavo, ko pošlje vlogo za registracija podjetja. Sodišče je razsodilo, da tega ni mogoče šteti za veljavno pravno podlago v skladu s členom 6(1)(a) GDPR, ker privolitev ni prostovoljno dana, specifična, informirana in nedvoumna.
Kar zadeva člen 6(1)(c) GDPR, je sodišče poudarilo, da Direktiva 2017/1132 ne zahteva sistematične obdelave vseh osebnih podatkov, ki jih vsebuje ustanovni akt. Zato ni pravne podlage v skladu s členom 6(1)(c) GDPR za objavo nadaljnjih osebnih podatkov, kot je podpis posameznika, ki niso predmet obvezne objave v skladu z zakonodajo EU ali nacionalno zakonodajo.
Kar zadeva člen 6(1)(e) GDPR, je Sodišče EU ugotovilo, da po mnenju predložitvenega sodišča obravnavana dejavnost obdelave spada v izvajanje javnih pooblastil in predstavlja nalogo, ki se izvaja v javnem interesu.
Sodišče EU pa je poudarilo, da ta pravna podlaga poleg tega zahteva, da obdelava resnično izpolnjuje zastavljene cilje javnega interesa, ne da bi presegla tisto, kar je potrebno za dosego teh ciljev. Zlasti zahteva po nujnosti ni izpolnjena, kadar je zasledovani cilj javnega interesa mogoče enako učinkovito doseči z drugimi sredstvi, ki manj omejujejo temeljne pravice posameznikov.
V obravnavani zadevi je sodišče razsodilo, da objave osebnih podatkov na spletu, ki jih ne zahteva Direktiva 2017/1132 ali nacionalna zakonodaja, samo po sebi ni mogoče šteti za nujno za doseganje ciljev.
Kar zadeva zahtevo za izbris, ki jo je vložil posameznik, je Sodišče EU odločilo, da:
če bo predložitveno sodišče ugotovilo, da obdelava ni zakonita, bi moral upravljavec brez nepotrebnega odlašanja izbrisati zadevne podatke v skladu s členom 17(1)(d) GDPR;
v nasprotnem primeru bi veljal člen 17(1)(c) GDPR v povezavi s členom 21(1) GDPR, kar pomeni, da ima posameznik pravico do ugovora zoper obdelavo in pravico do izbrisa, razen če obstajajo prevladujoči zakoniti razlogi. V obravnavanem primeru Sodišče EU ni našlo nobene zakonite pravne podlage.
Peto vprašanje
Kar zadeva peto vprašanje, na katerega je Sodišče EU odgovorilo pred četrtim vprašanjem, je Sodišče odločilo, da je treba Agencijo v obravnavanem primeru šteti za prejemnika v skladu s členom 4(9) GDPR, ker po vlogi za registracijo podjetja v poslovni register, Agencija prejme dokument z osebnimi podatki.
Kar zadeva koncept upravljavca, je Sodišče spomnilo, da v skladu s členom 4(7) GDPR subjekt spada v to opredelitev, če sam ali skupaj z drugimi določa namene in sredstva obdelave ali če te namene in sredstva določa pravo EU ali nacionalno pravo. Sodišče je v zvezi s tem presodilo, da Agencija s prepisovanjem in shranjevanjem osebnih podatkov, prejetih v zvezi z vlogo za vpis družbe v poslovni register, in z razkritjem teh podatkov tretjim osebam, kjer je to primerno, izvaja obdelavo osebnih podatkov, za katere je upravljavec.
Kar zadeva namene, je sodišče ugotovilo, da je namen Direktive 2017/1132 zagotoviti pravno varnost v zvezi s posli med podjetji in tretjimi osebami. Kar zadeva ta namen, prosilec nima vpliva na določitev poznejših namenov obdelav, ki jo izvaja ta organ. Po drugi strani pa prosilec s prijavo zasleduje drugačne namene, ki so mu lastni, in sicer izpolnjevanje formalnosti, potrebnih za to registracijo.
Na koncu je sodišče dodalo, da za ugotovitev, da je Agencija upravljavec, ni pomembno, da Agenciji ni bila poslana kopija ustanovitvene listine, v kateri so zakriti osebni podatki, ki jih zakon ne zahteva.
Šesto vprašanje
Sodišče je najprej spomnilo, da je opredelitev osebnih podatkov v skladu s členom 4(1) GDPR zelo široka, hkrati pa je sodišče je že razsodilo, da pisava fizične osebe zagotavlja informacije v zvezi s to osebo.
Na koncu je opozorilo, da se lastnoročni podpis fizične osebe na splošno uporablja za identifikacijo te osebe, kar pomeni, da je treba člen 4(1) GDPR razlagati tako, da je lastnoročni podpis fizične osebe predstavlja osebni podatek.
Sedmo vprašanje
Člen 82(1) GDPR je potrebno razlagati tako, da kadar posameznik za omejeno obdobje izgubi nadzor nad svojimi osebnimi podatki zaradi tega, ker so ti podatki na voljo javnosti na spletu (v poslovnem registru države članice), to lahko zadošča za povzročitev nepremoženjske škode. Vendar to velja le, če posameznik dokaže, da je dejansko utrpel takšno škodo, čeprav minimalno, saj pojem nepremoženjske škode ne zahteva dokazovanja obstoja dodatnih oprijemljivih škodljivih posledic.
Osmo vprašanje
Sodišče je poudarilo, da ima v skladu z 82. členom GDPR posameznik pravico do odškodnine, če so izpolnjeni trije kumulativni pogoji (obstoj kršitve GDPR, obstoj škode ter vzročna zveza med kršitvijo in škodo).
Po drugi strani pa člen 82(3) GDPR navaja, da je upravljavec oproščen odgovornosti, če dokaže, da na noben način ni odgovoren za dogodek, ki je povzročil škodo. Po mnenju sodišča je treba to določbo razlagati restriktivno.
Sodišče je še opozorilo, da mnenje po členu 58(3)(b) GDPR ni pravno zavezujoče in kot tako ne zadostuje za oprostitev odgovornosti upravljavca.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel