Agentsia po vpisvaniyata tegen OL

• 1.

  Het verzoek om een prejudiciële beslissing betreft de uitlegging van de artikelen 3 en 4 van richtlijn 2009/101/EG van het Europees Parlement en de Raad van 16 september 2009 strekkende tot het coördineren van de waarborgen, welke in de lidstaten worden verlangd van de vennootschappen in de zin van de tweede alinea van artikel 48 [EG], om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden, zulks teneinde die waarborgen gelijkwaardig te maken (PB 2009, L 258, blz. 11) en van de artikelen 4, 6, 17, 58 en 82 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificaties in PB 2018, L 127, blz. 2, en PB 2021, L 74, blz. 35; hierna: „AVG”).

• 2.

  Dit verzoek is ingediend in het kader van een geding tussen de Agentsia po vpisvaniyata (agentschap voor registraties, Bulgarije; hierna: „agentschap”) en OL over de weigering van het agentschap om bepaalde persoonsgegevens van OL door te halen die waren opgenomen in een vennootschapsovereenkomst die in het handelsregister openbaar was gemaakt.

   Richtlijn 2017/1132

 Unierecht

• 3.

  Richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad van 14 juni 2017 aangaande bepaalde aspecten van het vennootschapsrecht (PB 2017, L 169, blz. 46) is met ingang van 20 juli 2017, de datum van inwerkingtreding ervan, in de plaats gekomen van richtlijn 2009/101, die daarbij is ingetrokken.

• 4.

  De overwegingen 1, 7, 8 en 12 van richtlijn 2017/1132 luiden als volgt:

  „(1)      Richtlijnen [2009/101] en 2012/30/EU van het Europees Parlement en de Raad [van 25 oktober 2012 strekkende tot het coördineren van de waarborgen welke in de lidstaten worden verlangd van de vennootschappen in de zin van artikel 54, tweede alinea, van het [VWEU], om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden met betrekking tot de oprichting van de naamloze vennootschap, alsook de instandhouding en wijziging van haar kapitaal, zulks teneinde die waarborgen gelijkwaardig te maken (PB 2012, L 315, blz. 74)] zijn herhaaldelijk ingrijpend gewijzigd. Ter wille van de duidelijkheid en een rationele ordening van de tekst dient tot codificatie van die richtlijnen te worden overgegaan.

  [...]

  (7)      De coördinatie van de nationale bepalingen betreffende de openbaarmaking, de rechtsgeldigheid van de verbintenissen en de nietigheid van de vennootschappen op aandelen en de vennootschappen met beperkte aansprakelijkheid is van bijzonder belang, met name met het oog op de bescherming van de belangen van derden.

  (8)      De openbaarmaking moet derden in de gelegenheid stellen kennis te nemen van de voornaamste akten van een vennootschap en van bepaalde gegevens die haar betreffen, met name de identiteit van de personen die de bevoegdheid hebben haar te verbinden.

  [...]

  (12)      De grensoverschrijdende toegang tot bedrijfsinformatie moet worden vergemakkelijkt door, naast de verplichte openbaarmaking in een van de talen die in de lidstaat van de vennootschap zijn toegestaan, de vrijwillige indiening van akten en gegevens in andere talen toe te staan. Derden die te goeder trouw handelen, dienen zich op deze vertalingen te kunnen beroepen.”

• 5.

  Artikel 4 van deze richtlijn, dat is opgenomen in titel I, hoofdstuk II, afdeling 1 („Oprichting van de naamloze vennootschap”), heeft zelf als opschrift „Verplichte vermelding van gegevens in de statuten, in de oprichtingsakte of in een afzonderlijk document” en bepaalt:

  „Ten minste de volgende gegevens moeten worden vermeld in de statuten, in de oprichtingsakte, of in een afzonderlijk document dat openbaar moet worden gemaakt op de in de wetgeving van elke lidstaat vastgestelde wijze overeenkomstig artikel 16:

  [...]

  i)      de identiteit van de natuurlijke of rechtspersonen of vennootschappen door wie of namens wie de statuten of de oprichtingsakte of, wanneer de oprichting van de vennootschap niet als één handeling heeft plaatsgehad, de ontwerpstatuten of de ontwerpoprichtingsakte zijn dan wel is ondertekend;

  [...]”

• 6.

  Titel 1, hoofdstuk III, afdeling 1 („Algemene bepalingen”), van deze richtlijn bevat de artikelen 13 tot en met 28.

• 7.

  Artikel 13 van deze richtlijn heeft als opschrift „Toepassingsgebied” en bepaalt:

  „De in deze afdeling voorgeschreven coördinatiemaatregelen zijn van toepassing op de wettelijke en bestuursrechtelijke bepalingen van de lidstaten betreffende de in bijlage II vermelde vennootschapsvormen.”

• 8.

  Artikel 14 („Door vennootschappen openbaar te maken akten en gegevens”) van richtlijn 2017/1132 bepaalt:

  „De lidstaten nemen de nodige maatregelen opdat de verplichte openbaarmaking door vennootschappen plaatsvindt voor ten minste de volgende akten en gegevens:

  a)      de oprichtingsakte alsmede de statuten indien die in een afzonderlijke akte zijn opgenomen;

  b)      de wijzigingen van de onder a) vermelde akten, waaronder begrepen de verlenging van de duur van de vennootschap;

  c)      na elke wijziging in de oprichtingsakte of de statuten, de volledige bijgewerkte tekst van de gewijzigde akte of de statuten;

  d)      de benoeming, het aftreden, alsmede de identiteit van de personen die, als orgaan waarin de wet voorziet of als leden van een dergelijk orgaan:

  i)      de bevoegdheid hebben de vennootschap ten opzichte van derden te verbinden en haar in rechte te vertegenwoordigen; uit de openbaarmaking moet blijken of de personen die de bevoegdheid hebben de vennootschap te verbinden, dit alleen of slechts gezamenlijk kunnen doen;

  ii)      deelnemen aan het bestuur van, het toezicht op of de controle op de vennootschap;

  [...]”

• 9.

  Artikel 15 („Wijzigingen in akten en gegevens”), lid 1, van deze richtlijn, bepaalt:

  „De lidstaten nemen de nodige maatregelen om ervoor te zorgen dat wijzigingen in de in artikel 14 bedoelde akten en gegevens worden opgenomen in het bevoegde register als bedoeld in artikel 16, lid 1, eerste alinea, en openbaar worden gemaakt in overeenstemming met artikel 16, leden 3 en 5, normaliter binnen 21 dagen na ontvangst van de volledige documentatie betreffende die wijzigingen, in voorkomend geval met inbegrip van de overeenkomstig het nationale recht voor opname in het dossier vereiste wettigheidstoetsing.”

• 10.

  In artikel 16 („Openbaarmaking in het register”) van die richtlijn is bepaald:

  „1.      In iedere lidstaat wordt bij een centraal handels- of vennootschapsregister (‚het register’) voor elk der aldaar ingeschreven vennootschappen een dossier aangelegd.

  [...]

  3.      Alle akten en alle gegevens die krachtens artikel 14 openbaar gemaakt dienen te worden, worden in het dossier opgenomen of ingeschreven in het register; de inhoud van het in het register ingeschrevene dient in elk geval uit het dossier te blijken.

  De lidstaten dragen er zorg voor dat de vennootschappen en andere personen en instanties die gehouden zijn tot aanmelding of medewerking, alle akten en gegevens die overeenkomstig artikel 14 openbaar moeten worden gemaakt, in elektronische vorm kunnen indienen. Bovendien kunnen de lidstaten alle – of bepaalde categorieën – vennootschappen ertoe verplichten al deze – of bepaalde categorieën – akten en gegevens langs elektronische weg in te dienen.

  Alle in artikel 14 bedoelde akten en gegevens die hetzij op papier, hetzij langs elektronische weg worden ingediend, moeten in elektronische vorm in het dossier worden opgenomen of in het register worden ingeschreven. Hiertoe dragen de lidstaten er zorg voor dat alle op papier ingediende akten en gegevens door het register in elektronische vorm worden omgezet.

  [...]

  4.      Een volledig of gedeeltelijk afschrift van de in artikel 14 bedoelde akten of gegevens moet op aanvraag verkrijgbaar zijn. Aanvragen kunnen zowel op papier als langs elektronische weg, naar keuze van de aanvrager, bij het register worden ingediend.

  [...]

  5.      De in lid 3 bedoelde akten en gegevens worden, hetzij volledig, hetzij gedeeltelijk, of door middel van een verwijzing naar het document dat in het dossier is opgenomen of in het register is ingeschreven, in het door de lidstaat aangewezen nationale publicatieblad bekendgemaakt. Het daartoe aangewezen nationale publicatieblad kan in elektronische vorm worden bewaard.

  De lidstaten kunnen besluiten de bekendmaking in het nationale publicatieblad te vervangen door een ander, even doeltreffend instrument, dat ten minste het gebruik van een systeem omvat dat in chronologische volgorde via een centraal elektronisch platform toegang tot de openbaar gemaakte informatie biedt.

  6.      De akten en gegevens kunnen door de vennootschap niet dan na de in lid 5 bedoelde openbaarmaking aan derden worden tegengeworpen, tenzij de vennootschap aantoont dat deze derden er kennis van droegen.

  [...]

  7.      De lidstaten nemen de nodige maatregelen om elke tegenstrijdigheid te vermijden tussen de inhoud van de overeenkomstig lid 5 openbaar gemaakte tekst en die van het register of van het dossier.

  In geval van tegenstrijdigheid echter kan de overeenkomstig artikel 5 openbaar gemaakte tekst niet aan derden worden tegengeworpen; deze derden kunnen zich echter wel erop beroepen, tenzij de vennootschap aantoont dat zij kennis droegen van de in het dossier opgenomen of in het register ingeschreven tekst.

  [...]”

• 11.

  Artikel 21 („Taal van de openbaarmaking en vertaling van openbaar te maken akten en gegevens”) van richtlijn 2017/1132 bepaalt:

  „1.      De akten en gegevens die overeenkomstig artikel 14 moeten worden openbaar gemaakt, dienen te zijn gesteld en te worden ingediend in een van de talen die overeenkomstig de taalvoorschriften die van toepassing zijn in de lidstaat waar het in artikel 16, lid 1, bedoelde dossier is aangelegd, zijn toegestaan.

  2.      Afgezien van de in artikel 16 bedoelde verplichte openbaarmaking staan de lidstaten toe dat de in artikel 14 bedoelde vertalingen van akten en gegevens overeenkomstig artikel 16 vrijwillig in een van de officiële talen van de [Europese] Unie worden openbaar gemaakt.

  De lidstaten kunnen voorschrijven dat de vertaling van deze akten en gegevens wordt gewaarmerkt.

  De lidstaten treffen de nodige maatregelen om de toegang van derden tot de vrijwillig openbaar gemaakte vertalingen te vergemakkelijken.

  3.      Afgezien van de in artikel 16 bedoelde verplichte openbaarmaking en de vrijwillige openbaarmaking ingevolge lid 2 van dit artikel, kunnen de lidstaten toestaan dat de betrokken akten en gegevens overeenkomstig artikel 16 in (een) andere (taal) talen worden openbaar gemaakt.

  [...]

  4.      In geval van tegenstrijdigheid tussen de in de officiële talen van het register openbaar gemaakte akten en gegevens en de vrijwillig openbaar gemaakte vertaling, kan laatstgenoemde niet aan derden worden tegengeworpen. [...]”

• 12.

  Artikel 161 van deze richtlijn, met het opschrift „Gegevensbescherming”, bepaalt:

  „Op de verwerking van persoonsgegevens in het kader van deze richtlijn is richtlijn 95/46/EG [van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31)] van toepassing.”

• 13.

  Artikel 166 van deze richtlijn, met als opschrift „Intrekking”, bepaalt:

  „De richtlijnen [2009/101 en 2012/30] worden ingetrokken, [...].

  Verwijzingen naar de ingetrokken richtlijnen gelden als verwijzingen naar de onderhavige richtlijn en worden gelezen volgens de concordantietabel in bijlage IV.”

• 14.

  In bijlage II bij richtlijn 2017/1132 worden de vennootschapsvormen vermeld die zijn bedoeld in artikel 7, lid 1, artikel 13, artikel 29, lid 1, artikel 36, lid 1, artikel 67, lid 1, en artikel 119, lid 1, onder a), van deze richtlijn. Voor Bulgarije is daaronder de OOD.

• 15.

  Volgens de concordantietabel in bijlage IV bij richtlijn 2017/1132 komen de artikelen 2, 2 bis, 3, 4 en 7 bis van richtlijn 2009/101 overeen met respectievelijk de artikelen 14, 15, 16, 21 en 161 van richtlijn 2017/1132. Daarnaast komt artikel 3 van richtlijn 2012/30 overeen met artikel 4 van richtlijn 2017/1132.

   Richtlijn 2019/1151

• 16.

  Richtlijn 2017/1132 is gewijzigd bij richtlijn (EU) 2019/1151 van het Europees Parlement en de Raad van 20 juni 2019 tot wijziging van richtlijn (EU) 2017/1132 met betrekking tot het gebruik van digitale instrumenten en processen in het kader van het vennootschapsrecht (PB 2019, L 186, blz. 80), die in werking is getreden op 31 juli 2019. Artikel 1 van deze richtlijn, met het opschrift „Wijzigingen van richtlijn [2017/1132]”, bepaalt:

  „Richtlijn [2017/1132] wordt als volgt gewijzigd:

  [...]

  6)      Artikel 16 wordt vervangen door:

  ‚Artikel 16

  Openbaarmaking in het register

  1.      In iedere lidstaat wordt bij een centraal handels- of vennootschapsregister (‚het register’) voor elke van de daar ingeschreven vennootschappen een dossier aangelegd.

  [...]

  2.      Alle documenten en informatie die krachtens artikel 14 openbaar gemaakt dienen te worden, worden bewaard in het in lid 1 van onderhavig artikel bedoelde dossier of worden rechtstreeks in het register opgenomen en de inhoud van de vermeldingen in het register worden opgenomen in het dossier.

  Alle in artikel 14 bedoelde documenten en informatie, worden, ongeacht de manier waarop zij zijn ingediend, in het dossier in het register bewaard of er rechtstreeks elektronisch in opgenomen. De lidstaten dragen er zorg voor dat alle op papier ingediende documenten en informatie zo spoedig mogelijk door het register in elektronische vorm worden omgezet.

  [...]

  3.      De lidstaten zorgen ervoor dat de in artikel 14 bedoelde documenten en informatie openbaar worden gemaakt door deze voor het publiek beschikbaar te stellen in het register. Bovendien kunnen de lidstaten verlangen dat alle of bepaalde van die documenten en informatie worden bekendgemaakt in een daartoe bestemd nationaal publicatieblad of een even doeltreffend instrument. [...]

  4.      De lidstaten nemen de nodige maatregelen om discrepanties tussen de inhoud van het register en de inhoud van het dossier te vermijden.

  De lidstaten die de publicatie van documenten en informatie in een nationaal publicatieblad of op een centraal elektronisch platform vereisen, nemen de nodige maatregelen om discrepanties te vermijden tussen hetgeen overeenkomstig lid 3 openbaar wordt gemaakt en hetgeen in het publicatieblad of op het platform wordt gepubliceerd.

  In geval van discrepanties in de zin van dit artikel prevaleren de in het register beschikbaar gestelde documenten en informatie.

  5.      De in artikel 14 bedoelde documenten en informatie kunnen door de vennootschap pas na de in lid 3 van onderhavig artikel bedoelde openbaarmaking worden tegengeworpen aan derden, tenzij de vennootschap aantoont dat deze derden er kennis van droegen.

  [...]

  6.      De lidstaten zorgen ervoor dat alle documenten en informatie die worden ingediend als onderdeel van de oprichting van een vennootschap, van de registratie van een bijkantoor of van een indiening van informatie door een vennootschap of een bijkantoor, door de registers worden opgeslagen in een machineleesbaar en doorzoekbaar format of als gestructureerde gegevens.’

  7)      Het volgende artikel wordt ingevoegd:

  ‚Artikel 16 bis

  Toegang tot openbaar gemaakte informatie

  1.      De lidstaten zorgen ervoor dat bij het register [...] een kopie kan worden aangevraagd van alle of een gedeelte van de in artikel 14 bedoelde documenten en informatie.

  [...]’

  19)      Artikel 161 wordt vervangen door:

  ‚Artikel 161

  Gegevensbescherming

  [De AVG] is van toepassing op de verwerking van persoonsgegevens in het kader van deze richtlijn.’”

• 17.

  Artikel 2 van richtlijn 2019/1151, met het opschrift „Omzetting”, bepaalt:

  „1.      De lidstaten doen de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om uiterlijk op 1 augustus 2021 aan deze richtlijn te voldoen. [...]

  2.      Niettegenstaande lid 1 van dit artikel doen de lidstaten de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om uiterlijk op 1 augustus 2023 te voldoen aan [...] artikel 1, lid 6, van onderhavige richtlijn wat artikel 16, lid 6, van richtlijn 2017/1132 betreft.

  3.      In afwijking van lid 1 komen de lidstaten die bijzondere moeilijkheden ondervinden bij het omzetten van deze richtlijn in aanmerking voor een verlenging van maximaal één jaar van de in lid 1 bepaalde termijn. [...]

  [...]”

   AVG

• 18.

  De overwegingen 26, 32, 40, 42, 43, 50, 85, 143 en 146 AVG luiden:

  „(26)      De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. [...] Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. [...]

  [...]

  (32)      Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. [...] De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. [...]

  [...]

  (40)      Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere Unierechtelijke of lidstaatrechtelijke bepalingen als bedoeld in deze verordening, of ook dat de verwerking noodzakelijk is om te voldoen aan wettelijke verplichting die op de verwerkingsverantwoordelijke rust of om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen.

  [...]

  (42)      Indien de verwerking plaatsvindt op grond van toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. [...] Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

  (43)      Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, [...].

  [...]

  (50)      De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. [...]

  [...]

  (85)      Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. [...]

  [...]

  (143)      [...] [I]edere natuurlijke of rechtspersoon [dient] het recht te hebben om tegen een besluit van een toezichthoudende autoriteit dat ten aanzien van die persoon rechtsgevolgen heeft, voor het bevoegde nationale gerecht een doeltreffende voorziening in rechte in te stellen. Een dergelijk besluit heeft meer bepaald betrekking op de uitoefening van met onderzoek, correctie en toestemming verband houdende bevoegdheden door de toezichthoudende autoriteit, of op de afwijzing van klachten. Het recht een doeltreffende voorziening in rechte in te stellen geldt echter niet voor door de toezichthoudende autoriteiten getroffen maatregelen die niet juridisch bindend zijn, zoals adviezen. [...]

  [...]

  (146)      [...] De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Het begrip ‚schade’ moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. [...] De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen. [...]”

• 19.

  Artikel 4 AVG, met het opschrift „Definities”, bepaalt:

  „Voor de toepassing van deze verordening wordt verstaan onder:

  1)      ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‚de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

  2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

  [...]

  7)      ‚verwerkingsverantwoordelijke’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

  [...]

  9)      ‚ontvanger’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;

  [...]

  11)      ‚toestemming’ van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling een hem betreffende verwerking van persoonsgegevens aanvaardt;

  [...]”

• 20.

  Artikel 5 AVG, met het opschrift „Beginselen inzake verwerking van persoonsgegevens”, bepaalt:

  „1.      Persoonsgegevens moeten:

  [...]

  b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt [...] (‚doelbinding’);

  c)      toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‚minimale gegevensverwerking’);

  [...]

  2.      De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (‚verantwoordingsplicht’).”

• 21.

  Artikel 6 AVG, met het opschrift „Rechtmatigheid van de verwerking”, bepaalt:

  „1.      De verwerking is alleen rechtmatig indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan:

  a)      de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

  [...]

  c)      de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

  [...]

  e)      de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;

  [...]

  3.      De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:

  a)      Unierecht; of

  b)      lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is.

  Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en ‑procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.

  [...]”

• 22.

  Artikel 17 AVG, met het opschrift „Recht op gegevenswissing (‚recht op vergetelheid’)” bepaalt:

  „1.      De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

  a)      de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

  b)      de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

  c)      de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;

  d)      de persoonsgegevens zijn onrechtmatig verwerkt;

  [...]

  3.      De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

  [...]

  b)      voor het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

  [...]”

• 23.

  Artikel 21, lid 1, AVG, is als volgt verwoord:

  „De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e) of f), met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.”

• 24.

  Artikel 58 AVG bepaalt:

  „1.      Elk toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:

  [...]

  2.      Elke toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:

  [...]

  3.      Elke toezichthoudende autoriteit heeft alle autorisatie- en adviesbevoegdheden om:

  [...]

  b)      op eigen initiatief dan wel op verzoek, aan het nationaal parlement, aan de regering van de lidstaat, of overeenkomstig het lidstatelijke recht aan andere instellingen en organen alsmede aan het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens;

  [...]

  4.      Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling, zoals overeenkomstig het [Handvest van de grondrechten van de Europese Unie; hierna: „Handvest”] vastgelegd in het Unierecht en het lidstatelijke recht.

  5.      Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.

  6.      Elke lidstaat kan bij wet bepalen dat zijn toezichthoudende autoriteit, naast de in lid 1, 2 en 3 bedoelde bevoegdheden bijkomende bevoegdheden heeft. De uitoefening van die bevoegdheden doet geen afbreuk aan de doeltreffende werking van hoofdstuk VII.”

• 25.

  Artikel 82 AVG, met het opschrift „Recht op schadevergoeding en aansprakelijkheid”, bepaalt:

  „1.      Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.

  2.      Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.

  3.      Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

  [...]”

• 26.

  Artikel 94 AVG bepaalt:

  „1.      Richtlijn [95/46] wordt met ingang van 25 mei 2018 ingetrokken.

  2.      Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. [...]”

   Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel

 Bulgaars recht

• 27.

  Artikel 2 van de Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (wet inzake het handelsregister en het register van rechtspersonen zonder winstoogmerk) (DV nr. 34 van 25 april 2006), in de versie die van toepassing is op het hoofdgeding (hierna: „wet inzake de registers”), bepaalt:

  „1)      Het handelsregister en het register van rechtspersonen zonder winstoogmerk zijn een gemeenschappelijke elektronische databank die krachtens een wet geregistreerde omstandigheden en krachtens een wet voor het publiek toegankelijk gemaakte akten bevat met betrekking tot handelaren en bijkantoren van buitenlandse handelaren, rechtspersonen zonder winstoogmerk en bijkantoren van buitenlandse rechtspersonen zonder winstoogmerk.

  2)      De in lid 1 bedoelde omstandigheden en akten worden voor het publiek toegankelijk gemaakt met uitzondering van informatie die wordt beschouwd als persoonsgegevens in de zin van artikel 4, punt 1, [AVG], tenzij deze informatie bij wet voor het publiek toegankelijk moet worden gemaakt.”

• 28.

  Artikel 3 van deze wet bepaalt:

  „Het handelsregister en het register van rechtspersonen zonder winstoogmerk worden bijgehouden door het [agentschap], dat ressorteert onder de Ministar na pravosadieto [minister van Justitie, Bulgarije].”

• 29.

  Artikel 6, lid 1, van deze wet bepaalt:

  „Elke handelaar of rechtspersoon zonder winstoogmerk dient een aanvraag in om te worden ingeschreven in het handelsregister respectievelijk het register van rechtspersonen zonder winstoogmerk, waarbij hij de omstandigheden meedeelt die moeten worden geregistreerd en de akten overlegt die voor het publiek toegankelijk moeten worden gemaakt.”

• 30.

  Artikel 11 van deze wet luidt als volgt:

  „1)      Het handelsregister en het register van rechtspersonen zonder winstoogmerk zijn openbaar. Iedereen heeft recht op gratis vrije toegang tot de databank bestaande in die registers.

  2)      Het [agentschap] zorgt voor geregistreerde toegang tot het dossier van de handelaar of de rechtspersoon zonder winstoogmerk.”

• 31.

  Artikel 13, leden 1, 2, 6 en 9, van de wet inzake de registers luidt:

  „1)      De inschrijving, schrapping en terbeschikkingstelling aan het publiek worden verricht op basis van een aanvraagformulier.

  2)      De aanvraag moet het volgende bevatten:

  1.      de gegevens van de aanvrager;

  [...]

  3.      de in te schrijven omstandigheid, de inschrijving waarvan schrapping wordt gevraagd of de akte die ter beschikking van het publiek moet worden gesteld;

  [...]

  6)      [D]e aanvraag gaat vergezeld van de documenten of, in voorkomend geval, de akte die overeenkomstig de eisen van de wet ter beschikking van het publiek moeten worden gesteld. De documenten worden ingediend in de vorm van een origineel, een door de aanvrager voor eensluidend gewaarmerkt afschrift of een via notariële weg gewaarmerkt afschrift. De aanvrager dient ook voor eensluidend gewaarmerkte afschriften in van de akten die in het handelsregister openbaar moeten worden gemaakt en waarin andere persoonsgegevens dan de wettelijk vereiste onleesbaar zijn gemaakt.

  [...]

  9)      Wanneer in de aanvraag of de daarbij gevoegde documenten persoonsgegevens worden vermeld die niet bij wet zijn vereist, worden de personen die deze gegevens hebben verstrekt, geacht ermee te hebben ingestemd dat deze gegevens door het [agentschap] worden verwerkt en ter beschikking van het publiek worden gesteld.

  [...]”

   Targovski zakon

• 32.

  Artikel 101, punt 3, van de Targovski zakon (wetboek van koophandel) (DV nr. 48 van 18 juni 1991), in de versie die van toepassing is op het hoofdgeding (hierna: „wetboek van koophandel”), bepaalt dat de vennootschapsovereenkomst „de naam, de vennootschapsnaam en de unieke identificatiecode van de vennoten” moet bevatten.

• 33.

  Artikel 119 van deze wet bepaalt:

  „(1)      Voor de inschrijving van een vennootschap in het handelsregister is het volgende vereist:

  1.      overlegging van de vennootschapsovereenkomst, die openbaar wordt gemaakt;

  [...]

  (2)      De in punt 1 [...] bedoelde gegevens worden ingeschreven in het register [...].

  [...]

  (4)      Met het oog op wijziging of aanvulling van de in het handelsregister ingeschreven vennootschapsovereenkomst wordt een door het vertegenwoordigende orgaan van de vennootschap voor eensluidend gewaarmerkt afschrift van deze overeenkomst met alle wijzigingen en aanvullingen overgelegd met het oog op de openbaarmaking ervan.”

   Naredba no 1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel

• 34.

  Artikel 6 van de Naredba no 1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (besluit betreffende het bijhouden en bewaren van en de inzage in het handelsregister en het register van rechtspersonen zonder winstoogmerk) van 14 februari 20007 (DV nr. 18 van 27 februari 2007), vastgesteld door de Ministar na pravosadieto, in de versie die van toepassing is op het hoofdgeding, bepaalt:

  „De inschrijving in en de schrapping uit het handelsregister en het register van rechtspersonen zonder winstoogmerk vinden plaats op basis van een formulier dat is opgenomen in de bijlagen [met specifieke formulieren]. De akten in het handelsregister en in het register van rechtspersonen zonder winstoogmerk worden openbaar gemaakt op basis van een formulier dat is opgenomen in de bijlagen [met specifieke formulieren].”

 Hoofdgeding en prejudiciële vragen

• 35.

  OL is vennoot van „Praven Shtit Konsulting” OOD, een vennootschap met beperkte aansprakelijkheid naar Bulgaars recht, die op 14 januari 2021 in het handelsregister is ingeschreven na overlegging van een door de vennoten van deze vennootschap ondertekende vennootschapsovereenkomst van 30 december 2020 (hierna: „vennootschapsovereenkomst”).

• 36.

  Deze overeenkomst, die OL’s naam en voornaam, haar identificatienummer, het nummer, de datum en plaats van afgifte van haar identiteitskaart, haar adres en haar handtekening bevat, is ingeschreven en ter beschikking van het publiek gesteld zoals zij is overgelegd.

• 37.

  Op 8 juli 2021 heeft OL het agentschap verzocht om haar persoonsgegevens in die vennootschapsovereenkomst door te halen, waarbij zij heeft aangegeven dat, indien de verwerking van deze gegevens op haar toestemming berustte, zij deze toestemming introk.

• 38.

  Bij gebreke van een antwoord van het agentschap heeft OL beroep ingesteld bij de Administrativen sad Dobrich (bestuursrechter in eerste aanleg Dobrich, Bulgarije), die de stilzwijgende weigering van het agentschap om deze gegevens door te halen bij vonnis van 8 december 2021 nietig heeft verklaard en de zaak voor een nieuwe beslissing naar het agentschap heeft terugverwezen.

• 39.

  In uitvoering van dit vonnis en een soortgelijk vonnis ten aanzien van de andere vennoot die dezelfde actie had ondernomen, heeft het agentschap bij brief van 26 januari 2022 aangegeven dat een voor eensluidend gewaarmerkt afschrift van de vennootschapsovereenkomst waarin de persoonsgegevens van de vennoten, met uitzondering van de wettelijk verplichte gegevens, onleesbaar waren gemaakt, aan het agentschap moest worden overgelegd zodat het verzoek om schrapping van de persoonsgegevens van OL kon worden ingewilligd.

• 40.

  Op 31 januari 2022 heeft OL opnieuw beroep ingesteld bij de Administrativen sad Dobrich met het oog op nietigverklaring van die brief en veroordeling van het agentschap tot vergoeding van de immateriële schade die deze brief, die inbreuk maakte op de door de AVG verleende rechten, haar had berokkend.

• 41.

  Op 1 februari 2022, vóór ontvangst van de kennisgeving van dit beroep, heeft het agentschap ambtshalve OL’s identificatienummer, de gegevens inzake haar identiteitskaart en haar adres geschrapt, maar niet haar naam, voornaam en handtekening.

• 42.

  Bij vonnis van 5 mei 2022 heeft de Administrativen sad Dobrich de brief van 26 januari 2022 nietig verklaard en het agentschap op grond van artikel 82 AVG veroordeeld tot betaling aan OL van een vergoeding van 500 Bulgaarse lev (BGN) (ongeveer 255 EUR), vermeerderd met de wettelijke rente, wegens immateriële schade. Volgens dit vonnis bestond deze schade uit negatieve psychologische ervaringen en gevoelens van OL, namelijk angst en onrust in verband met eventueel misbruik en gevoelens van machteloosheid en teleurstelling in verband met de onmogelijkheid om haar persoonsgegevens te beschermen. Bovendien was deze schade het gevolg van die brief, die had geleid tot schending van het in artikel 17, lid 1, AVG neergelegde recht op wissing van haar persoonsgegevens en tot de onrechtmatige verwerking van haar persoonsgegevens in de openbaar gemaakte vennootschapsovereenkomst.

• 43.

  Het agentschap heeft tegen dit vonnis cassatieberoep ingesteld bij de Varhoven administrativen sad (hoogste bestuursrechter, Bulgarije).

• 44.

  Volgens deze rechter voert het agentschap aan dat het niet alleen verwerkingsverantwoordelijke maar ook ontvanger is van de persoonsgegevens die in het kader van de procedure voor de registratie van „Praven Shtit Konsulting” zijn overgelegd. Bovendien heeft het agentschap geen afschrift ontvangen van de vennootschapsovereenkomst waarin de persoonsgegevens van OL die niet openbaar gemaakt hoefden te worden, onleesbaar waren gemaakt, hoewel het daarom vóór de registratie van de vennootschap in het handelsregister had verzocht. Louter het ontbreken van een dergelijk afschrift kan er echter niet aan in de weg staan dat een handelsvennootschap in dat register wordt ingeschreven. Dat blijkt volgens het agentschap uit advies nr. 01‑116(20)/01.02.2021 dat de nationale toezichthoudende autoriteit, de Komisia za zashtita na lichnite danni (commissie ter bescherming van persoonsgegevens Bulgarije; hierna: „KZLD”) krachtens artikel 58, lid 3, onder b), AVG heeft verstrekt en waarnaar het agentschap verwijst. Deze rechter merkt op dat het agentschap als verwerkingsverantwoordelijke volgens OL zijn eigen verplichtingen inzake schrapping van persoonsgegevens niet aan anderen kan opleggen aangezien dat advies volgens nationale rechtspraak niet in overeenstemming is met de AVG.

• 45.

  Volgens de verwijzende rechter is verduidelijking van de vereisten van die verordening noodzakelijk, gelet op de meerderheidsopvatting in de nationale rechtspraak. In het bijzonder vraagt deze rechter zich af hoe het recht op bescherming van persoonsgegevens enerzijds moet worden verzoend met de regeling die de openbaarmaking van en de toegang tot bepaalde akten van vennootschappen waarborgt anderzijds, waarbij hij met name vermeldt dat de uitleggingsproblemen die in het hoofdgeding rijzen, aan de hand van het arrest van 9 maart 2017, Manni (C‑398/15, EU:C:2017:197), niet kunnen worden opgelost.

• 46.

  Daarop heeft de Varhoven administrativen sad de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

  „1)      Kan artikel 4, lid 2, van richtlijn [2009/101] aldus worden uitgelegd dat een lidstaat verplicht is om de openbaarmaking van een vennootschapsovereenkomst, die krachtens artikel 119 van [het wetboek van koophandel] moet worden geregistreerd, toe te staan wanneer deze behalve de namen van de vennoten, die krachtens artikel 2, lid 2, van de [wet inzake de registers] vallen onder de verplichte bekendmaking, ook verdere persoonsgegevens bevat? Bij de beantwoording van deze vraag moet in aanmerking worden genomen dat het [agentschap] een instelling van de publieke sector is, waartegen volgens vaste rechtspraak van het Hof de bepalingen van een richtlijn die rechtstreekse werking hebben, kunnen worden ingeroepen (arrest van 7 september 2006, Vassallo, С-180/04, EU:C:2006:518, punt 26 en aldaar aangehaalde rechtspraak).

  2)      Kan – indien de eerste vraag bevestigend wordt beantwoord – ervan worden uitgegaan dat in de omstandigheden die hebben geleid tot het geschil in het hoofdgeding, de verwerking van persoonsgegevens door het [agentschap] in de zin van artikel 6, lid 1, onder e), [AVG] noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen?

  3)      Indien de eerste twee vragen bevestigend worden beantwoord, kan dan als rechtmatig worden beschouwd een nationale regeling als die in artikel 13, lid 9, van de [wet inzake de registers], volgens welke ervan moet worden uitgegaan dat, indien in een aanvraag of in de daarbij gevoegde documenten niet wettelijk verplichte persoonsgegevens zijn vermeld, de personen die deze ter beschikking hebben gesteld hebben ingestemd met de verwerking van deze gegevens door het agentschap en met de openbare beschikbaarstelling daarvan, ongeacht de overwegingen 32, 40, 42, 43 en 50 [AVG], als verduidelijking van de mogelijkheid van ‚vrijwillige openbaarmaking’ in de zin van artikel 4, lid 2, van richtlijn [2009/101] van gegevens, zelfs van persoonsgegevens?

  4)      Zijn ter omzetting van de verplichting van de lidstaten krachtens artikel 3, lid 7, van richtlijn [2009/101] om de nodige maatregelen te nemen om elke tegenstrijdigheid te vermijden tussen de inhoud van de overeenkomstig [artikel 3, lid 5,] openbaar gemaakte tekst en die van het register of van het dossier en van de verplichting om rekening te houden met de belangen van derden om kennis te nemen van de voornaamste akten van de vennootschap en van bepaalde gegevens die haar betreffen, zoals vermeld in overweging 3 van deze richtlijn, nationale bepalingen toegestaan die voorzien in een procedureregeling (aanvraagformulieren, indienen van een afschrift van documenten waarin persoonsgegevens onleesbaar zijn gemaakt) voor de uitoefening van het recht van een natuurlijke persoon om overeenkomstig artikel 17 [AVG] van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van de hem betreffende persoonsgegevens te verkrijgen, wanneer de persoonsgegevens waarvan wissing wordt gevraagd deel uitmaken van officieel openbaar gemaakte (voor het publiek beschikbaar gestelde) documenten die aan de verwerkingsverantwoordelijke volgens een soortgelijke procedureregeling zijn overgelegd door een andere persoon, die [...] ook het doel van de door hem geïnitieerde verwerking heeft vastgesteld?

  5)      Handelt het [agentschap] in de aan het hoofdgeding ten grondslag liggende situatie alleen als verwerkingsverantwoordelijke met betrekking tot de persoonsgegevens of is het ook ontvanger daarvan, wanneer het doel van de verwerking, als deel van de documenten die ter openbaarmaking worden voorgelegd, door een andere verwerkingsverantwoordelijke werd vastgesteld?

  6)      Vormt de handgeschreven handtekening van een natuurlijke persoon informatie die betrekking heeft op een geïdentificeerde natuurlijke persoon en valt deze meer bepaald onder het begrip ‚persoonsgegevens’ in de zin van artikel 4, punt 1, [AVG]?

  7)      Moet het begrip ‚immateriële schade’ in artikel 82, lid 1, [AVG] aldus worden uitgelegd dat immateriële schade een tastbaar nadeel en een objectief aantoonbare inbreuk op persoonlijke belangen vereist of volstaat het dat de betrokkene kortstondig de beschikkingsbevoegdheid over zijn persoonsgegevens verliest wegens de openbaarmaking ervan in het handelsregister, zonder enige tastbare of nadelige gevolgen voor de betrokkene?

  8)      Kan het overeenkomstig artikel 58, lid 3, onder b), [AVG] vastgestelde advies van de nationale toezichthoudende autoriteit, de [KZLD], nr. 01‑116(20)/01.02.2021, volgens hetwelk het [agentschap] geen wettelijke mogelijkheid of bevoegdheid heeft om ambtshalve of op verzoek van de betrokkene de verwerking van reeds openbaar gemaakte gegevens te beperken, worden beschouwd als bewijs in de zin van artikel 82, lid 3, [AVG] dat het [agentschap] op geen enkele wijze verantwoordelijk is voor het feit dat de schade bij de natuurlijke persoon zou hebben veroorzaakt?”

 Overwegingen vooraf

• 47.

  Vooraf moet worden opgemerkt dat de gestelde vragen betrekking hebben op de uitlegging van zowel de AVG als richtlijn 2009/101, die is gecodificeerd en vervangen door richtlijn 2017/1132, de richtlijn die ratione temporis van toepassing is op de feiten van het hoofdgeding. Dientengevolge moet het verzoek om een prejudiciële beslissing worden opgevat als een verzoek om uitlegging van richtlijn 2017/1132.

• 48.

  Zoals de advocaat-generaal in punt 15 van zijn conclusie heeft opgemerkt, heeft een deel van de feiten plaatsgevonden na 1 augustus 2021, de datum waarop de in artikel 2, lid 1, van richtlijn 2019/1151 genoemde termijn voor de omzetting van die richtlijn is verstreken, zodat het aan de verwijzende rechter staat om na te gaan of deze feiten binnen de werkingssfeer ratione temporis van richtlijn 2017/1132 vóór wijziging ervan bij richtlijn 2019/1151 of van de richtlijn na wijziging ervan vallen.

• 49.

  De uit richtlijn 2019/1151 voortvloeiende wijzigingen van de bewoordingen van de artikelen 16 en 161 van richtlijn 2017/1132 en de toevoeging van een artikel 16 bis daaraan zijn evenwel niet van invloed op de analyse die het Hof in de onderhavige zaak moet verrichten, zodat de in het onderhavige arrest te geven antwoorden hoe dan ook relevant zijn.

 Eerste vraag

• 50.

  Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 21, lid 2, van richtlijn 2017/1132 aldus moet worden uitgelegd dat een lidstaat op grond daarvan verplicht is om toe te staan dat een vennootschapsovereenkomst waarvoor de verplichte openbaarmaking van deze richtlijn geldt, in een handelsregister openbaar wordt gemaakt indien deze overeenkomst naast de minimaal verplichte gegevens ook andere persoonsgegevens bevat waarvan de openbaarmaking naar het recht van die lidstaat niet vereist is.

• 51.

  In het bijzonder vraagt deze rechter zich af wat de omvang is van de in die bepaling genoemde vrijwillige openbaarmaking en probeert hij vast te stellen of deze bepaling de lidstaten verplicht de openbaarmaking toe te staan van gegevens in akten van vennootschappen, zoals persoonsgegevens, die de lidstaten niet hebben vereist uit hoofde van de in deze richtlijn voorgeschreven verplichte openbaarmaking.

• 52.

  Artikel 21, lid 2, eerste alinea, van richtlijn 2017/1132 bepaalt: „Afgezien van de in artikel 16 [van deze richtlijn] bedoelde verplichte openbaarmaking staan de lidstaten toe dat de in artikel 14 [van deze richtlijn] bedoelde vertalingen van akten en gegevens overeenkomstig artikel 16 [ervan] vrijwillig in een van de officiële talen van de Unie worden openbaar gemaakt”. Op grond van de tweede alinea van artikel 21, lid 2, kunnen de lidstaten voorschrijven dat „de vertaling van deze akten en gegevens” wordt gewaarmerkt. Ten slotte heeft de derde alinea van artikel 21, lid 2, betrekking op de maatregelen die nodig zijn om de toegang van derden tot „vertalingen” die vrijwillig openbaar zijn gemaakt, te vergemakkelijken.

• 53.

  In artikel 14 van richtlijn 2017/1132 worden de akten en gegevens van vennootschappen opgesomd die ten minste verplicht openbaar moeten worden gemaakt. Deze akten en gegevens moeten overeenkomstig artikel 16, leden 3 tot en met 5, van deze richtlijn in het dossier worden opgenomen of in het register worden ingeschreven, toegankelijk zijn door de mogelijkheid op aanvraag een volledig of gedeeltelijk afschrift te verkrijgen, en hetzij volledig, hetzij gedeeltelijk, hetzij door middel van een verwijzing in het nationale publicatieblad of door een ander, even doeltreffend instrument openbaar worden gemaakt.

• 54.

  In dit verband blijkt uit de bewoordingen van deze bepaling, met name gelet op het herhaalde gebruik van de term „vertalingen” in artikel 21, lid 2, van richtlijn 2017/1132, dat zij betrekking heeft op de vrijwillige openbaarmaking van de vertalingen van de in artikel 14 van deze richtlijn bedoelde akten en gegevens in een officiële taal van de Unie, en dus enkel op de taal van de bekendmaking van die akten en gegevens. Deze bepaling verwijst daarentegen niet naar de inhoud van deze akten en gegevens.

• 55.

  Bijgevolg lijken deze bewoordingen erop te wijzen dat artikel 21, lid 2, niet aldus kan worden uitgelegd dat zij de lidstaten enige verplichting oplegt om persoonsgegevens openbaar te maken waarvan de openbaarmaking noch door andere bepalingen van het Unierecht noch door het recht van de betrokken lidstaat wordt vereist, maar die zijn opgenomen in een handeling die op grond van die richtlijn verplicht openbaar moet worden gemaakt.

• 56.

  Wanneer de betekenis van een bepaling van Unierecht ondubbelzinnig uit de bewoordingen ervan blijkt, mag het Hof niet van deze uitlegging afwijken (arrest van 25 januari 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, punt 39).

• 57.

  Hoe dan ook, wat de context van artikel 21, lid 2, van richtlijn 2017/1132 betreft, vindt de uitlegging in punt 55 van het onderhavige arrest steun in het opschrift van dit artikel, namelijk „Taal van de openbaarmaking en vertaling van openbaar te maken akten en gegevens”, en ook in de andere leden van dat artikel.

• 58.

  Artikel 21, lid 1, van richtlijn 2017/1132 bepaalt namelijk dat „[d]e akten en gegevens die overeenkomstig artikel 14 [van deze richtlijn] moeten worden openbaar gemaakt, dienen te zijn gesteld en te worden ingediend in een van de talen” die overeenkomstig de toepasselijke nationale taalvoorschriften zijn toegestaan. Artikel 21, lid 3, bepaalt dat de lidstaten, afgezien van de in artikel 16 van deze richtlijn bedoelde verplichte openbaarmaking en de vrijwillige openbaarmaking ingevolge artikel 21, lid 2, kunnen toestaan dat de betrokken akten en gegevens „in (een) andere (taal) talen” openbaar worden gemaakt. Artikel 21, lid 4, maakt gewag van de „vrijwillig openbaar gemaakte vertaling”.

• 59.

  De uitlegging in punt 55 van het onderhavige arrest wordt tot slot bevestigd door overweging 12 van deze richtlijn, waarin wordt verklaard dat de grensoverschrijdende toegang tot bedrijfsinformatie moet worden vergemakkelijkt door, naast de verplichte openbaarmaking in een van de talen die in de lidstaat van de vennootschap zijn toegestaan, de vrijwillige indiening van akten en gegevens in andere talen toe te staan.

• 60.

  Gelet op een en ander moet op de eerste vraag worden geantwoord dat artikel 21, lid 2, van richtlijn 2017/1132 aldus moet worden uitgelegd dat een lidstaat op grond daarvan niet verplicht is om toe te staan dat een vennootschapsovereenkomst waarvoor de verplichte openbaarmaking van deze richtlijn geldt, in een handelsregister openbaar wordt gemaakt indien deze overeenkomst naast de minimaal verplichte gegevens ook andere persoonsgegevens bevat waarvan de openbaarmaking naar het recht van die lidstaat niet vereist is.

 Tweede en derde vraag

• 61.

  Gelet op het antwoord op de eerste vraag hoeven de tweede en de derde vraag, die waren gesteld voor het geval dat de eerste vraag bevestigend zou worden beantwoord, niet te worden beantwoord.

 Vijfde vraag

• 62.

  Met zijn vijfde vraag, die voor de vierde vraag moet worden behandeld, wenst de verwijzende rechter in wezen te vernemen of de AVG, met name artikel 4, punten 7 en 9, ervan, aldus moet worden uitgelegd dat de autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat die in dat register de persoonsgegevens openbaar maakt die zijn opgenomen in een vennootschapsovereenkomst waarvoor de verplichte openbaarmaking van richtlijn 2017/1132 geldt en die haar is voorgelegd in het kader van een verzoek om inschrijving van de betrokken vennootschap in dat register, zowel de „ontvanger” als de „verwerkingsverantwoordelijke” van die gegevens in de zin van deze bepaling is.

• 63.

  Vooraf moet eraan worden herinnerd dat op de verwerking van persoonsgegevens in het kader van richtlijn 2017/1132 overeenkomstig artikel 161 daarvan richtlijn 95/46, en dus de AVG, van toepassing is; artikel 94, lid 2, AVG bepaalt namelijk dat verwijzingen naar richtlijn 95/46 gelden als verwijzingen naar deze verordening.

• 64.

  Allereerst moeten de lidstaten volgens artikel 14, onder a), b) en d), van richtlijn 2017/1132 de nodige maatregelen nemen opdat de verplichte openbaarmaking betreffende vennootschappen plaatsvindt voor ten minste de oprichtingsakte, de wijzigingen daarvan, en de benoeming, het aftreden, alsmede de identiteit van de personen die, als orgaan waarin de wet voorziet of als leden van een dergelijk orgaan, de bevoegdheid hebben de vennootschap ten opzichte van derden te verbinden en haar in rechte te vertegenwoordigen, of deelnemen aan het bestuur van, het toezicht of de controle op die vennootschap. Bovendien omvat de verplichte informatie die in de openbaar te maken oprichtingsakte moet worden vermeld overeenkomstig artikel 4, onder i), van deze richtlijn de identiteit van de natuurlijke of rechtspersonen of vennootschappen door wie of namens wie die akte is ondertekend.

• 65.

  Deze akten en gegevens moeten overeenkomstig artikel 16, leden 3 tot en met 5, van deze richtlijn in het dossier worden opgenomen of in het register worden ingeschreven, toegankelijk zijn door de mogelijkheid op aanvraag een volledig of gedeeltelijk afschrift te verkrijgen, en hetzij volledig, hetzij gedeeltelijk, hetzij door middel van een verwijzing in het nationale publicatieblad of door een ander, even doeltreffend instrument openbaar worden gemaakt, zoals vermeld in punt 53 van het onderhavige arrest.

• 66.

  Zoals de advocaat-generaal in punt 26 van zijn conclusie heeft opgemerkt, is het aan de lidstaten om met name te bepalen voor welke categorieën informatie betreffende de identiteit van de in artikel 4, onder i), en artikel 14, onder d), van richtlijn 2017/1132 bedoelde personen, en inzonderheid voor welke soorten persoonsgegevens, een verplichting tot openbaarmaking geldt, met inachtneming van het recht van de Unie.

• 67.

  De gegevens die betrekking hebben op de identiteit van die personen zijn informatie betreffende geïdentificeerde of identificeerbare natuurlijke personen en daarmee te beschouwen als „persoonsgegevens” in de zin van artikel 4, punt 1, AVG (zie in die zin arrest van 9 maart 2017, Manni, C‑398/15, EU:C:2017:197, punt 34).

• 68.

  Hetzelfde geldt voor de aanvullende gegevens betreffende de identiteit van deze personen of van andere categorieën personen die de lidstaten besluiten te onderwerpen aan de verplichte openbaarmaking of die – zoals in casu – voorkomen in de handelingen die aan een dergelijke openbaarmaking zijn onderworpen, terwijl de terbeschikkingstelling van die gegevens niet is vereist door richtlijn 2017/1132 of door het nationale recht waarbij deze richtlijn ten uitvoer is gelegd.

• 69.

  Onder het begrip ontvanger in de zin van artikel 4, punt 9, AVG wordt verstaan „een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt”. Volgens deze bepaling zijn overheidsinstanties die meegedeelde persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht echter van dit begrip uitgesloten.

• 70.

  Wanneer een autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat in het kader van het verzoek om inschrijving van een vennootschap in dat register de in artikel 14 van richtlijn 2017/1132 genoemde handelingen ontvangt waarvoor verplichte openbaarmaking geldt en die handelingen persoonsgegevens bevatten, of zij nu vereist zijn door deze richtlijn dan wel het nationale recht of niet, heeft zij de hoedanigheid van „ontvanger” van deze gegevens in de zin van artikel 4, punt 9, AVG.

• 71.

  Tot slot ziet het begrip verwerkingsverantwoordelijke volgens artikel 4, punt 7, AVG op natuurlijke of rechtspersonen, overheidsinstanties, diensten of andere organen die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen. Wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan in het Unierecht of het lidstatelijke recht volgens deze bepaling worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.

• 72.

  In dat verband moet eraan worden herinnerd dat deze bepaling volgens de rechtspraak van het Hof tot doel heeft via een ruime omschrijving van het begrip verwerkingsverantwoordelijke een doeltreffende en volledige bescherming van de betrokkenen te verzekeren [arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een publicatieblad), C‑231/22, EU:C:2024:7, punt 28 en aldaar aangehaalde rechtspraak].

• 73.

  Gelet op de bewoordingen van artikel 4, punt 7, AVG, gelezen in het licht van die doelstelling, blijkt dat er, om te bepalen of een persoon of entiteit moet worden aangemerkt als „verwerkingsverantwoordelijke” in de zin van deze bepaling, moet worden nagegaan of deze persoon of entiteit alleen of samen met anderen de doelstellingen van en de middelen voor de verwerking vaststelt, dan wel of deze doelstellingen en middelen in het Unierecht of in het nationale recht zijn bepaald. Indien zij door het nationale recht worden bepaald, moet worden nagegaan of in dat recht is bepaald wie de verwerkingsverantwoordelijke is of volgens welke specifieke criteria deze wordt aangewezen [zie in die zin arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een publicatieblad), C‑231/22, EU:C:2024:7, punt 29].

• 74.

  Ook dient te worden verduidelijkt dat de doelstellingen van en de middelen voor de verwerking en, in voorkomend geval, de aanwijzing van die verantwoordelijke in het nationale recht – gezien de ruime definitie van het begrip verwerkingsverantwoordelijke in artikel 4, punt 7, AVG – niet alleen expliciet maar ook impliciet kunnen zijn vastgesteld. Als zij impliciet zijn vastgesteld, moet die vaststelling evenwel met voldoende zekerheid voortvloeien uit de rol, de taak en de bevoegdheden die aan de persoon of entiteit in kwestie zijn toebedeeld [arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een publicatieblad), C‑231/22, EU:C:2024:7, punt 30].

• 75.

  Bovendien verricht de met het houden van het handelsregister van een lidstaat belaste autoriteit bij het inschrijven en bewaren van de persoonsgegevens die zij ontvangt in het kader van een verzoek om inschrijving van een vennootschap in dat register, indien zij deze gegevens in voorkomend geval op aanvraag aan derden verstrekt en in het nationale publicatieblad of door een ander, even doeltreffend instrument openbaar maakt, een verwerking van persoonsgegevens waarvoor zij de „verwerkingsverantwoordelijke” in de zin van artikel 4, punten 2 en 7, AVG is (zie in die zin arrest van 9 maart 2017, Manni, C‑398/15, EU:C:2017:197, punt 35).

• 76.

  Die verwerkingen van persoonsgegevens staan namelijk los van en volgen op de mededeling van persoonsgegevens die de aanvrager van die inschrijving heeft gedaan en die deze autoriteit heeft ontvangen. Bovendien verricht deze autoriteit deze verwerkingen als enige, overeenkomstig de doelstellingen en de modaliteiten die zijn neergelegd in richtlijn 2017/1132 en in de wetgeving van de betrokken lidstaat waarbij deze richtlijn ten uitvoer is gelegd.

• 77.

  In dat verband moet worden overwogen dat uit de overwegingen 7 en 8 van deze richtlijn volgt dat de daarin voorgeschreven openbaarmaking er met name toe strekt de belangen van derden ten aanzien van vennootschappen op aandelen en vennootschappen met beperkte aansprakelijkheid te beschermen, omdat deze vennootschappen aan derden geen andere waarborg bieden dan hun vermogen. Deze openbaarmaking moet derden dan ook in de gelegenheid stellen kennis te nemen van de voornaamste akten van de betrokken vennootschap en van bepaalde gegevens die haar betreffen, met name de identiteit van de personen die de bevoegdheid hebben haar te binden.

• 78.

  Daarnaast is het de bedoeling van deze richtlijn om met het oog op de verdieping van de handelsstromen tussen de lidstaten als gevolg van de schepping van de interne markt de rechtszekerheid in de betrekkingen tussen vennootschappen en derden te verzekeren. Zo gezien is het van belang dat eenieder die zakenrelaties met in andere lidstaten gevestigde vennootschappen wenst aan te gaan en te behouden, zonder moeite kennis kan nemen van essentiële gegevens betreffende de oprichting van handelsvennootschappen en de bevoegdheid van de personen die ze hebben te vertegenwoordigen, hetgeen vereist dat alle ter zake dienende gegevens expliciet in het register worden vermeld (zie in die zin arrest van 9 maart 2017, Manni, C‑398/15, EU:C:2017:197, punt 50).

• 79.

  Zoals de advocaat-generaal in punt 39 van zijn conclusie heeft opgemerkt, heeft de persoon die verzoekt om inschrijving van de vennootschap in het handelsregister van een lidstaat en aan de autoriteit die belast is met het bijhouden van dat register de in richtlijn 2017/1132 bepaalde akten en gegevens doorgeeft die openbaar gemaakt moeten worden en aldus de persoonsgegevens verwerkt die die akten bevatten, geen invloed op de vaststelling van de doeleinden en op de verdere verwerking door die autoriteit. Hij streeft bovendien andere, eigen doeleinden na, namelijk het vervullen van de formaliteiten die nodig zijn voor de registratie van de vennootschap.

• 80.

  Zoals de advocaat-generaal in de punten 31 en 32 van zijn conclusie heeft opgemerkt, blijkt in casu uit het verzoek om een prejudiciële beslissing dat de terbeschikkingstelling aan het publiek van OL’s persoonsgegevens is voorgevallen in het kader van de uitoefening van de bevoegdheden die zijn verleend aan het agentschap als autoriteit die belast is met het bijhouden van het handelsregister, en dat de doeleinden en middelen van de verwerking van die gegevens zowel bepaald zijn door het Unierecht als door het nationale recht dat in het hoofdgeding aan de orde is, met name artikel 13, lid 9, van de wet inzake de registers. Het feit dat geen eensluidend gewaarmerkt afschrift van de vennootschapsovereenkomst is verstrekt waarin de door deze wettelijke regeling niet vereiste persoonsgegevens onleesbaar waren gemaakt – in strijd met de procedurevoorschriften van deze regeling – is niet van invloed op de kwalificatie van het agentschap als „verwerkingsverantwoordelijke”.

• 81.

  Aan deze kwalificatie wordt evenmin afgedaan doordat het agentschap krachtens deze wettelijke regeling de persoonsgegevens in de elektronische afbeeldingen of de originele versies van de met het oog op de inschrijving van een vennootschap overgelegde documenten niet controleert voordat zij online worden gezet. Het Hof heeft al geoordeeld dat het in strijd zou zijn met de in punt 72 van dit arrest genoemde doelstelling van artikel 4, punt 7, AVG indien het publicatieblad van een lidstaat van het begrip verwerkingsverantwoordelijke zou worden uitgesloten op de grond dat het geen controle uitoefent over de in de publicaties voorkomende persoonsgegevens [arrest van 11 januari 2024, Belgische Staat (Gegevens verwerkt door een publicatieblad), C‑231/22, EU:C:2024:7, punt 38].

• 82.

  Onder die omstandigheden is het agentschap in een situatie als in het hoofdgeding de verantwoordelijke voor de verwerking van de persoonsgegevens van OL, namelijk de online terbeschikkingstelling van deze gegevens aan het publiek, zelfs als uit hoofde van de nationale wettelijke regeling die in het hoofdgeding aan de orde is een afschrift van de vennootschapsovereenkomst had moeten worden verstrekt waarin de door die regeling niet vereiste persoonsgegevens onleesbaar waren gemaakt, hetgeen de verwijzende rechter moet verifiëren. Krachtens artikel 5, lid 2, AVG is het agentschap derhalve ook verantwoordelijk voor de naleving van artikel 5, lid 1.

• 83.

  Gelet op een ander moet op de vijfde vraag worden geantwoord dat de AVG, met name artikel 4, punten 7 en 9, ervan, aldus moet worden uitgelegd dat de autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat die in dat register de persoonsgegevens openbaar maakt die zijn opgenomen in een vennootschapsovereenkomst waarvoor de verplichte openbaarmaking van richtlijn 2017/1132 geldt en die haar is voorgelegd in het kader van een verzoek om inschrijving van de betrokken vennootschap in dat register, zowel de „ontvanger” als de „verwerkingsverantwoordelijke” van die gegevens is – met name in zoverre als zij ze openbaar maakt – in de zin van deze bepaling, zelfs indien die overeenkomst persoonsgegevens bevat die niet vereist zijn door deze richtlijn of door het recht van die lidstaat.

   Ontvankelijkheid

 Vierde vraag

• 84.

  De Bulgaarse regering betoogt dat de vierde vraag niet-ontvankelijk is omdat zij een vraagstuk van hypothetische aard opwerpt. Volgens de Bulgaarse regering heeft deze vraag namelijk betrekking op de verenigbaarheid van een nog vast te stellen nationale wettelijke regeling betreffende de procedureregels voor de uitoefening van het in artikel 17 AVG bedoelde recht met artikel 16 van richtlijn 2017/1132.

• 85.

  Volgens vaste rechtspraak brengt de prejudiciële verwijzingsprocedure van artikel 267 VWEU een nauwe samenwerking tot stand tussen de nationale rechterlijke instanties en het Hof, gebaseerd op een onderlinge taakverdeling, en is zij een instrument waarmee het Hof de nationale rechterlijke instanties de uitleggingsgegevens met betrekking tot het Unierecht verschaft die zij voor de beslechting van de hun voorgelegde geschillen nodig hebben. In het kader van deze samenwerking is het uitsluitend de taak van de nationale rechter aan wie het geschil is voorgelegd en die de verantwoordelijkheid voor de te geven rechterlijke beslissing draagt om, rekening houdend met de bijzonderheden van de zaak, zowel de noodzaak van een prejudiciële beslissing voor het wijzen van zijn vonnis te beoordelen als de relevantie van de vragen die hij aan het Hof voorlegt. Wanneer de gestelde vragen betrekking hebben op de uitlegging van het Unierecht, is het Hof derhalve in beginsel verplicht daarop te antwoorden [arrest van 23 november 2021, IS (Onwettigheid van de verwijzingsbeslissing), C‑564/19, EU:C:2021:949, punten 59 en 60 en aldaar aangehaalde rechtspraak].

• 86.

  Bijgevolg geldt voor prejudiciële vragen over het Unierecht een vermoeden van relevantie. Het Hof kan slechts weigeren uitspraak te doen op een prejudiciële vraag van een nationale rechterlijke instantie wanneer duidelijk blijkt dat de gevraagde uitlegging van het Unierecht geen verband houdt met een reëel geschil of met het voorwerp van het hoofdgeding, het vraagstuk van hypothetische aard is, of het Hof niet beschikt over de gegevens, feitelijk en rechtens, die noodzakelijk zijn om een nuttig antwoord te geven op de gestelde vragen [arrest van 24 november 2020, Openbaar Ministerie (Valsheid in geschrifte), C‑510/19, EU:C:2020:953, punt 26 en aldaar aangehaalde rechtspraak].

• 87.

  In casu komt uit het verzoek om een prejudiciële beslissing naar voren dat de verwijzende rechter wordt verzocht zich in laatste instantie uit te spreken over de rechtmatigheid van de afwijzing, door het agentschap, van het verzoek om wissing van de persoonsgegevens dat in de hoofdzaak aan de orde is op grond dat het agentschap – in strijd met de procedurevoorschriften in de Bulgaarse wettelijke regeling – geen afschrift van de vennootschapsovereenkomst was verstrekt waarin de door die regeling niet vereiste gegevens onleesbaar waren gemaakt. Bovendien volgt uit dat verzoek dat die afwijzing strookt met de gangbare praktijk van het agentschap. Tot slot heeft deze rechter vermeld dat een antwoord van het Hof op de vierde vraag noodzakelijk is voor de beslechting van het hoofdgeding, in een context van uiteenlopende nationale rechtspraak.

• 88.

  Daaruit volgt dat de vierde vraag, anders dan de Bulgaarse regering stelt, ontvankelijk is.

   Ten gronde

• 89.

  In het licht van de gegevens in het verzoek om een prejudiciële beslissing die zijn uiteengezet in punt 87 van het onderhavige arrest, moet worden geoordeeld dat de verwijzende rechter met zijn vierde vraag in wezen wenst te vernemen of richtlijn 2017/1132, in het bijzonder artikel 16 ervan, en artikel 17 AVG aldus moeten worden uitgelegd dat zij zich verzetten tegen een regeling of praktijk van een lidstaat die ertoe leidt dat de met het bijhouden van het handelsregister van die lidstaat belaste autoriteit elk verzoek om wissing van persoonsgegevens in een in dat register openbaar gemaakte vennootschapsovereenkomst die door die richtlijn of het nationale recht van deze lidstaat niet zijn vereist, afwijst indien – in strijd met de procedurevoorschriften in die regeling – aan die autoriteit geen afschrift van die overeenkomst is verstrekt waarin die gegevens onleesbaar zijn gemaakt.

• 90.

  Overeenkomstig artikel 17, lid 1, AVG heeft de betrokkene het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en is de verwerkingsverantwoordelijke verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de in die bepaling genoemde gevallen van toepassing is.

• 91.

  Dat is volgens artikel 17, lid 1, onder c), het geval indien de betrokkene overeenkomstig artikel 21, lid 1, van die verordening bezwaar maakt tegen de verwerking en er geen „prevalerende dwingende gerechtvaardigde gronden voor de verwerking” zijn, of indien de betrokken gegevens overeenkomstig artikel 17, lid 1, onder d), „onrechtmatig [zijn] verwerkt”.

• 92.

  Uit artikel 17, lid 3, onder b), AVG volgt ook dat artikel 17, lid 1, niet van toepassing is indien de verwerking nodig is voor het nakomen van een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.

• 93.

  Om te bepalen of de betrokkene in een situatie als die in het hoofdgeding over een recht op wissing krachtens artikel 17 AVG beschikt, moet dus eerst worden onderzocht onder welke grond of gronden voor de rechtmatigheid ervan de verwerking van zijn persoonsgegevens kan vallen.

• 94.

  Daarvoor moet in herinnering worden gebracht dat artikel 6, lid 1, eerste alinea, AVG een uitputtende en limitatieve lijst bevat van de gevallen waarin de verwerking van persoonsgegevens als rechtmatig kan worden beschouwd. Een dergelijke verwerking kan dus alleen als rechtmatig worden aangemerkt indien zij valt onder een van de in deze bepaling genoemde gevallen [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 99 en aldaar aangehaalde rechtspraak].

• 95.

  Bij gebreke van toestemming van de betrokkene voor de verwerking van zijn persoonsgegevens in de zin van artikel 6, lid 1, eerste alinea, onder a), of wanneer die toestemming niet vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven in de zin van artikel 4, punt 11, AVG, kan de verwerking niettemin gerechtvaardigd zijn wanneer is voldaan aan een van de in artikel 6, lid 1, eerste alinea, onder b) tot en met f), van deze verordening genoemde voorwaarden, waarbij er sprake is van noodzakelijkheid [zie in die zin arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punt 92].

• 96.

  In deze context moeten de in deze laatste bepaling genoemde rechtvaardigingsgronden restrictief worden uitgelegd, aangezien de verwerking van persoonsgegevens daardoor rechtmatig kan zijn zonder dat de betrokkene toestemming heeft gegeven [arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punt 93 en aldaar aangehaalde rechtspraak].

• 97.

  Ook moet worden verduidelijkt dat het volgens artikel 5 AVG aan de verwerkingsverantwoordelijke staat om te bewijzen dat deze gegevens met name voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld, dat zij toereikend en ter zake dienend zijn alsook beperkt blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt, en dat zij worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is [zie in die zin arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punt 95].

• 98.

  Het staat weliswaar aan de verwijzende rechter om te bepalen of de verschillende onderdelen van een verwerking als in het hoofdgeding aan de orde gerechtvaardigd zijn omdat die noodzakelijk zijn om een van de in artikel 6, lid 1, eerste alinea, onder a) tot en met f), AVG bedoelde redenen, maar het Hof kan hem niettemin nuttige aanwijzingen verschaffen om het bij hem aanhangige geding te kunnen beslechten [zie in die zin arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C‑252/21, EU:C:2023:537, punt 96].

• 99.

  Om te beginnen voldoet het bij artikel 13, lid 9, van de wet inzake de registers vastgestelde vermoeden van toestemming in het onderhavige geval ogenschijnlijk niet aan de voorwaarden van artikel 6, lid 1, eerste alinea, onder a), AVG, gelezen in samenhang met artikel 4, punt 11, van die verordening, zoals de advocaat-generaal in punt 43 van haar conclusie heeft opgemerkt.

• 100.

  Zoals volgt uit de overwegingen 32, 42 en 43 van deze verordening dient de toestemming te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke of een mondelinge verklaring, en kan zij niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. Voorts mag toestemming in een specifiek geval geen geldige rechtsgrond zijn wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is.

• 101.

  Een vermoeden als neergelegd in artikel 13, lid 9, van de wet inzake de registers kan daarom niet worden beschouwd als toestemming voor de verwerking van persoonsgegevens door een overheidsinstantie als het agentschap die vrij, specifiek, geïnformeerd en ondubbelzinnig is gegeven.

• 102.

  Vervolgens zijn de in artikel 6, lid 1, eerste alinea, onder b) en d), genoemde gronden voor rechtmatigheid voor de noodzakelijke verwerking van persoonsgegevens, die betrekking hebben op de uitvoering van een overeenkomst en de bescherming van de vitale belangen van een natuurlijke persoon, niet relevant voor de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is. Datzelfde geldt voor de rechtmatigheidsgrond in artikel 6, lid 1, eerste alinea, onder f), voor een verwerking van persoonsgegevens die noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, want uit de bewoordingen van artikel 6, lid 1, tweede alinea, volgt duidelijk dat een verwerking van persoonsgegevens door een overheidsinstantie in het kader van de uitoefening van haar taken niet kan vallen onder de werkingssfeer van die grond [zie in die zin arrest van 8 december 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Doeleinden van de verwerking van persoonsgegevens – Strafrechtelijk onderzoek), C‑180/21, EU:C:2022:967, punt 85].

• 103.

  Tot slot moet er met betrekking tot de rechtmatigheidsgronden in artikel 6, lid 1, eerste alinea, onder c) en e), AVG aan worden herinnerd dat een verwerking van persoonsgegevens op grond van artikel 6, lid 1, eerste alinea, onder c), rechtmatig is indien die noodzakelijk is om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Bovendien is de verwerking volgens artikel 6, lid 1, eerste alinea, onder e), ook rechtmatig als zij noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.

• 104.

  In artikel 6, lid 3, AVG wordt met betrekking tot deze twee gevallen waarin de verwerking rechtmatig is, met name nader bepaald dat de verwerking haar grondslag moet vinden in het Unierecht of het lidstatelijke recht dat op de verwerkingsverantwoordelijke van toepassing is, alsmede dat deze rechtsgrond moet beantwoorden aan een doelstelling van algemeen belang en dat hij evenredig moet zijn met het nagestreefde gerechtvaardigde doel.

• 105.

  Wat betreft, in de eerste plaats, de vraag of de verwerking die in het hoofdgeding aan de orde is, noodzakelijk is om te voldoen aan een wettelijke verplichting die voortvloeit uit het Unierecht of het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is in de zin van artikel 6, lid 1, eerste alinea, onder c), AVG, moet – met de advocaat-generaal in de punten 45 en 47 van haar conclusie – worden opgemerkt dat richtlijn 2017/1132 niet vereist dat alle persoonsgegevens in een akte die onderworpen is aan de in deze richtlijn vastgestelde verplichte openbaarmaking systematisch worden verwerkt. Integendeel, uit artikel 161 van deze richtlijn volgt dat de verwerking van persoonsgegevens in het kader van richtlijn 2017/1132, en in het bijzonder het verzamelen, opslaan, ter beschikking stellen en openbaar maken van informatie uit hoofde van deze richtlijn, volledig moet voldoen aan de uit de AVG voortvloeiende vereisten.

• 106.

  Het staat dus aan de lidstaten om er in het kader van de uitvoering van de bij deze richtlijn opgelegde verplichtingen voor te zorgen dat de in punt 77 van het onderhavige arrest in herinnering gebrachte doelstellingen van de richtlijn, namelijk rechtszekerheid en bescherming van de belangen van derden, enerzijds, en de in de AVG neergelegde rechten en het grondrecht op bescherming van persoonsgegevens, anderzijds, met elkaar in overeenstemming worden gebracht door een evenwichtige afweging te maken tussen die doelstellingen en deze rechten (zie in die zin arrest van 1 augustus 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punt 98).

• 107.

  Bijgevolg kan niet worden geoordeeld dat het online, in het handelsregister, beschikbaar stellen aan het publiek van persoonsgegevens die niet vereist zijn door richtlijn 2017/1132 of de nationale wettelijke regeling die in het hoofdgeding aan de orde is, en die zijn opgenomen in een aan het agentschap toegezonden vennootschapsovereenkomst waarvoor de door die richtlijn opgelegde verplichte openbaarmaking geldt, wordt gerechtvaardigd door het vereiste om de openbaarmaking van de in artikel 14 van deze richtlijn bedoelde akten overeenkomstig artikel 16 ervan te verzekeren, en dus voortvloeit uit een wettelijke verplichting die door het Unierecht is opgelegd.

• 108.

  De rechtmatigheid van de verwerking die in het hoofdgeding aan de orde is, berust – onder voorbehoud van verificatie door de verwijzende rechter – evenmin op een wettelijke verplichting naar het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is in de zin van artikel 6, lid 1, eerste alinea, onder c), AVG, in casu het Bulgaars recht, aangezien uit het dossier waarover het Hof beschikt blijkt dat artikel 2, lid 2, van de wet inzake de registers bepaalt dat de in het handelsregister op te nemen akten zonder de informatie die wordt beschouwd als persoonsgegevens voor het publiek toegankelijk worden gemaakt, „tenzij deze informatie bij wet voor het publiek toegankelijk moet worden gemaakt” en artikel 13, lid 9, van deze wet een vermoeden van toestemming behelst dat niet voldoet aan de vereisten van de AVG, zoals volgt uit punt 99 van het onderhavige arrest.

• 109.

  Wat betreft, in de tweede plaats, de vraag of de verwerking in het hoofdgeding noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen in de zin van artikel 6, lid 1, eerste alinea, onder e), AVG, waarnaar met name de verwijzende rechter, de Bulgaarse regering en het agentschap verwijzen, heeft het Hof al geoordeeld dat bij het door een overheidsinstantie opslaan in een databank van gegevens die vennootschappen op grond van een wettelijke meldingsplicht hebben meegedeeld, het verlenen aan belanghebbenden van inzage daarin en het laten vervaardigen van kopieën voor hen sprake is van uitoefening van bevoegdheden van openbaar gezag en het daarbij gaat om een taak van algemeen belang als bedoeld in die bepaling (zie in die zin arrest van 9 maart 2017, Manni, C‑398/15, EU:C:2017:197, punt 43).

• 110.

  Daaruit volgt dat de verwerking die in het hoofdgeding aan de orde is, inderdaad wordt verricht ter gelegenheid van de vervulling van een taak van algemeen belang. Niettemin is aan de voorwaarden van deze bepaling enkel voldaan indien die verwerking daadwerkelijk beantwoordt aan de nagestreefde doelstellingen van algemeen belang en niet verder gaat dan noodzakelijk is om deze doelstellingen te verwezenlijken [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 109].

• 111.

  Aan dit noodzakelijkheidsvereiste is niet voldaan wanneer de beoogde doelstelling van algemeen belang redelijkerwijs op een even doeltreffende wijze kan worden bereikt met andere middelen die minder inbreuk maken op de grondrechten van de betrokkenen – met name op het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, die respectievelijk worden gewaarborgd door de artikelen 7 en 8 van het Handvest – en afwijkingen en beperkingen van het beginsel van bescherming van persoonsgegevens moeten binnen de grenzen van het strikt noodzakelijke blijven [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 110 en aldaar aangehaalde rechtspraak].

• 112.

  Zoals de advocaat-generaal in punt 51 van haar conclusie heeft opgemerkt, kan het online ter beschikking stellen van het publiek van persoonsgegevens die niet vereist zijn door richtlijn 2017/1132 of door het nationale recht op zich niet worden beschouwd als noodzakelijk voor de verwezenlijking van de door die richtlijn nagestreefde doeleinden.

• 113.

  Wat in het bijzonder het bestaan van middelen betreft die minder afbreuk doen aan deze grondrechten, moet worden opgemerkt dat de in het hoofdgeding aan de orde zijnde nationale wettelijke regeling bepaalt dat de persoon die om inschrijving van de vennootschap in het handelsregister verzoekt, met het oog op publicatie ervan in dat register en de toegankelijkheid ervan voor derden een afschrift van de akte van die vennootschap moet overleggen waarin de niet vereiste gegevens zijn weggelaten. In casu is dat afschrift nooit aan het agentschap verstrekt, zelfs niet nadat het daarom had verzocht. De Bulgaarse regering en het agentschap hebben echter bevestigd dat deze wettelijke regeling niet bepaalt dat het agentschap dit afschrift zelf kan opstellen, zelfs niet na het verstrijken van een redelijke termijn en wanneer de betrokkene er niet in slaagt van de vennootschap of haar vertegenwoordigers een dergelijk afschrift te verkrijgen, hetgeen nochtans een even doeltreffend middel zou zijn om de doelstellingen van openbaarmaking van de akten van vennootschappen, rechtszekerheid en bescherming van de belangen van derden te bereiken, en minder afbreuk zou doen aan het recht op bescherming van persoonsgegevens.

• 114.

  Zoals de advocaat-generaal in punt 56 van haar conclusie heeft opgemerkt, kan het vereiste van handhaving van de integriteit en de betrouwbaarheid van vennootschapsakten waarvoor de verplichte openbaarmaking van richtlijn 2017/1132 geldt, op grond waarvan deze akten openbaar moeten worden gemaakt zoals zij zijn overgelegd aan de met het bijhouden van het handelsregister belaste autoriteiten – anders dan meerdere lidstaten in hun opmerkingen voor het Hof hebben betoogd – niet systematisch prevaleren boven dat recht, omdat die bescherming anders louter illusoir wordt.

• 115.

  In het bijzonder mag dit vereiste er niet toe leiden dat persoonsgegevens die niet door richtlijn 2017/1132 of het nationale recht worden vereist, online ter beschikking blijven van het publiek in dat register, terwijl het agentschap zelf het in dat recht bedoelde afschrift van de akte van de betrokken vennootschap met het oog op die terbeschikkingstelling ervan kan opstellen, zoals blijkt uit punt 113 van het onderhavige arrest.

• 116.

  Hieruit volgt dat de in het hoofdgeding aan de orde zijnde verwerking van persoonsgegevens hoe dan ook verder lijkt te gaan dan noodzakelijk is voor de vervulling van de taak van algemeen belang waarmee het agentschap krachtens die nationale wettelijke regeling is belast.

• 117.

  Zoals de advocaat-generaal in punt 59 van haar conclusie heeft opgemerkt, lijkt deze verwerking – onder voorbehoud van de door de verwijzende rechter te verrichten verificaties – evenmin te voldoen aan de rechtmatigheidsvoorwaarden van artikel 6, lid 1, eerste alinea, onder c) en e), AVG, gelezen in samenhang met artikel 6, lid 3, ervan.

• 118.

  Voorts moet in verband met het verzoek om wissing uit hoofde van artikel 17 AVG in het hoofdgeding worden opgemerkt dat het, indien de verwijzende rechter na zijn beoordeling van de rechtmatigheid van die verwerking tot de slotsom komt dat deze verwerking onrechtmatig is, volgens de duidelijke bewoordingen van artikel 17, lid 1, onder d), AVG aan het agentschap staat – als verwerkingsverantwoordelijke, zoals blijkt uit de punten 82 en 83 van dit arrest – om de betrokken gegevens zonder onredelijke vertraging te wissen [zie in die zin arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punt 108].

• 119.

  Indien deze rechter daarentegen tot de slotsom komt dat deze verwerking daadwerkelijk beantwoordt aan de in artikel 6, lid 1, onder e), AVG neergelegde rechtmatigheidsgrond, met name voor zover het, in het belang van de bescherming van derden, noodzakelijk was om gegevens die niet vereist zijn op grond van richtlijn 2017/1132 of de in het hoofdgeding aan de orde zijnde nationale wetgeving online, in het handelsregister, ter beschikking te stellen om te voorkomen dat de inschrijving van de betrokken vennootschap zou worden vertraagd, moet worden opgemerkt dat artikel 17, lid 1, onder c), AVG van toepassing is.

• 120.

  Uit die bepaling, gelezen in samenhang met artikel 21, lid 1, AVG, volgt dat de betrokkene het recht heeft om bezwaar te maken tegen de verwerking en zijn persoonsgegevens te laten wissen, tenzij er dwingende gerechtvaardigde gronden zijn die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene in de zin van artikel 21, lid 1, AVG, hetgeen de verwerkingsverantwoordelijke dient aan te tonen [zie in die zin arrest van 7 december 2023, SCHUFA Holding (Kwijtschelding van restschulden), C‑26/22 en C‑64/22, EU:C:2023:958, punt 111].

• 121.

  In een situatie als die in het hoofdgeding lijkt er geen dwingende gerechtvaardigde grond in de zin van die bepaling te zijn die zich tegen een dergelijk verzoek om wissing verzet.

• 122.

  Uit de verwijzingsbeslissing blijkt namelijk dat de vennootschap waarvan OL vennoot is, al is ingeschreven in het handelsregister.

• 123.

  Daarnaast mag het vereiste om de integriteit en de betrouwbaarheid te handhaven van vennootschapsakten waarvoor de verplichte openbaarmaking van richtlijn 2017/1132 geldt, er niet toe leiden dat persoonsgegevens die niet door richtlijn 2017/1132 of het nationale recht worden vereist, online ter beschikking blijven van het publiek in dat register, zoals in punt 115 van het onderhavige arrest is overwogen.

• 124.

  Tot slot, gesteld dat de verwijzende rechter tot de slotsom komt dat de verwerking van persoonsgegevens die in het hoofdgeding aan de orde is daadwerkelijk beantwoordt aan de rechtmatigheidsgrond in artikel 6, lid 1, onder c), AVG, dan moet worden opgemerkt dat in de AVG, en meer bepaald in artikel 17, lid 3, onder b), expliciet het vereiste is neergelegd dat er een afweging moet worden gemaakt tussen de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens enerzijds, en de doelstellingen die rechtmatig worden nagestreefd door het recht van de Unie of het recht van de lidstaten dat ten grondslag ligt aan de wettelijke verplichting op grond waarvan de verwerking noodzakelijk is, anderzijds [zie naar analogie arrest van 8 december 2022, Google (Verwijdering van links naar beweerdelijk onjuiste inhoud), C‑460/20, EU:C:2022:962, punt 58 en aldaar aangehaalde rechtspraak].

• 125.

  Zoals het Hof al heeft geoordeeld, kan een beperking van de toegang tot persoonsgegevens die op grond van het Unierecht verplicht openbaar moeten worden gemaakt tot derden die een aantoonbaar belang hebben, van geval tot geval gerechtvaardigd zijn om zwaarwegende en gerechtvaardigde redenen die verband houden met de bijzondere situatie van de betrokkenen (zie in die zin arrest van 9 maart 2017, Manni, C‑398/15, EU:C:2017:197, punt 60).

• 126.

  Zoals de advocaat-generaal in punt 67 van haar conclusie heeft opgemerkt, moet een dergelijke beperking a fortiori worden erkend indien de betrokken persoonsgegevens noch krachtens richtlijn 2017/1132, noch krachtens het nationale recht zijn vereist, zoals in casu.

• 127.

  In het licht van die gegevens moet op de vierde vraag worden geantwoord dat richtlijn 2017/1132, in het bijzonder artikel 16 ervan, en artikel 17 AVG aldus moeten worden uitgelegd dat zij zich verzetten tegen een regeling of praktijk van een lidstaat die ertoe leidt dat de met het bijhouden van het handelsregister van die lidstaat belaste autoriteit elk verzoek om wissing van persoonsgegevens in een in dat register openbaar gemaakte vennootschapsovereenkomst die door die richtlijn of het nationale recht van deze lidstaat niet zijn vereist, afwijst indien – in strijd met de procedurevoorschriften in die regeling – aan die autoriteit geen afschrift van die overeenkomst is verstrekt waarin die gegevens onleesbaar zijn gemaakt.

 Zesde vraag

• 128.

  Met zijn zesde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 4, punt 1, AVG aldus moet worden uitgelegd dat de met de hand gezette handtekening van een natuurlijke persoon onder het begrip persoonsgegevens in de zin van deze bepaling valt.

• 129.

  Deze bepaling omschrijft persoonsgegevens als „alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon” en bepaalt verder dat „als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.

• 130.

  In dat verband heeft het Hof al geoordeeld dat het gebruik van de woorden „alle informatie” in de definitie van het begrip persoonsgegevens in deze bepaling wijst op de bedoeling van de Uniewetgever om een ruime betekenis te geven aan dit begrip, dat zich potentieel uitstrekt tot elk soort informatie, zowel objectieve informatie als subjectieve informatie, in de vorm van meningen of beoordelingen, op voorwaarde dat deze informatie de betrokkene „betreft” (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 23).

• 131.

  Informatie betreft een geïdentificeerde of identificeerbare persoon wanneer die informatie wegens haar inhoud, doel of gevolg gelieerd is aan een identificeerbare persoon (arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 24).

• 132.

  Wat de „identificeerbaarheid” van een natuurlijke persoon betreft, verduidelijkt overweging 26 AVG dat rekening moet worden gehouden met „alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken”.

• 133.

  Daaruit volgt dat de ruime definitie van het begrip „persoonsgegevens” niet alleen de door de verwerkingsverantwoordelijke verzamelde en bewaarde gegevens omvat, maar ook alle informatie die voortvloeit uit een verwerking van persoonsgegevens betreffende een geïdentificeerde of identificeerbare persoon (zie in die zin arrest van 4 mei 2023, Österreichische Datenschutzbehörde en CRIF, C‑487/21, EU:C:2023:369, punt 26).

• 134.

  Uit de rechtspraak van het Hof volgt ook dat het handschrift van een natuurlijke personen informatie verschaft over die persoon (zie in die zin arrest van 20 december 2017, Nowak, C‑434/16, EU:C:2017:994, punt 37).

• 135.

  Tot slot moet worden opgemerkt dat de met de hand gezette handtekening van een natuurlijke persoon over het algemeen dient om die persoon te identificeren, om bewijskracht te verlenen, wat de juistheid en oprechtheid ervan betreft, aan de documenten waarop zij is aangebracht of om de verantwoordelijkheid ervoor op zich te nemen. Voorts blijkt dat de betrokken vennootschapsovereenkomst naast de handtekening van de vennoten de namen van die vennoten bevat.

• 136.

  Gelet op een en ander moet op de zesde vraag worden geantwoord dat artikel 4, punt 1, AVG aldus moet worden uitgelegd dat de met de hand gezette handtekening van een natuurlijke persoon onder het begrip persoonsgegevens in de zin van deze bepaling valt.

 Zevende vraag

• 137.

  Met zijn zevende vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een kortstondig verlies van controle over zijn persoonsgegevens van de betrokkene wegens de terbeschikkingstelling aan het publiek ervan online in het handelsregister van een lidstaat, kan volstaan om „immateriële schade” te veroorzaken, of dat voor het begrip immateriële schade tevens moet worden aangetoond dat tastbare negatieve gevolgen zijn ontstaan.

• 138.

  Vooraf moet eraan worden herinnerd dat daarin is bepaald dat „[e]enieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op [de AVG], [...] het recht [heeft] om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade”.

• 139.

  Aangezien de AVG niet naar het recht van de lidstaten verwijst voor de betekenis en de draagwijdte van de bewoordingen van die bepaling, inzonderheid voor de begrippen „materiële of immateriële schade” en „schadevergoeding voor de geleden schade”, moeten deze begrippen voor de toepassing van deze verordening worden geacht autonome Unierechtelijke begrippen te zijn, die op het grondgebied van alle lidstaten uniform moeten worden uitgelegd [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 30].

• 140.

  Daartoe moet artikel 82, lid 1, AVG aldus worden uitgelegd dat de loutere schending van die verordening niet volstaat voor de toekenning van een recht op schadevergoeding, aangezien het bestaan van „geleden” materiële of immateriële „schade” een van de voorwaarden is voor het in dat artikel 82, lid 1, bedoelde recht op vergoeding, net zoals het bestaan van een schending van deze verordening en een causaal verband tussen die schade en die schending, waarbij deze drie voorwaarden cumulatief vervuld moeten zijn [arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 32, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 34].

• 141.

  De persoon die krachtens die bepaling om schadevergoeding verzoekt, moet dus niet alleen aantonen dat er bepalingen van die verordening zijn geschonden, maar ook dat hij door die schending dergelijke schade heeft geleden, zodat niet louter op grond van die schending kan worden aangenomen dat er schade is ontstaan [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 42 en 50, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 35].

• 142.

  Een persoon die wordt geraakt door een inbreuk op de AVG die voor hem negatieve gevolgen heeft gehad, moet inzonderheid aantonen dat die gevolgen immateriële schade in de zin van artikel 82 van deze verordening opleveren, aangezien een inbreuk op de bepalingen ervan op zich niet volstaat voor de toekenning van een recht op schadevergoeding (arrest van 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 60 en aldaar aangehaalde rechtspraak).

• 143.

  Wanneer een persoon die op grond van dat artikel 82, lid 1, schadevergoeding vordert, zich beroept op de vrees voor toekomstig misbruik van zijn persoonsgegevens wegens het bestaan van een dergelijke inbreuk, moet de aangezochte nationale rechter derhalve nagaan of deze vrees in de betrokken specifieke omstandigheden en ten aanzien van de betrokkene gegrond kan worden geacht (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 85).

• 144.

  Het Hof heeft daarnaast al geoordeeld dat niet alleen uit de bewoordingen van artikel 82, lid 1, AVG, gelezen in het licht van de overwegingen 85 en 146 van die verordening, die om een ruime opvatting van het begrip immateriële schade in de zin van die eerste bepaling vragen, maar ook uit de doelstelling om natuurlijke personen een hoog beschermingsniveau te bieden op het vlak van de door die verordening bedoelde verwerking van hun persoonsgegevens, blijkt dat de vrees die een betrokkene na een inbreuk op diezelfde verordening koestert voor mogelijk misbruik van zijn persoonsgegevens door derden, op zich „immateriële schade” in de zin van dat artikel 82, lid 1, kan vormen [arrest van 20 juni 2024, PS (Verkeerd adres), C‑590/22, EU:C:2024:536, punt 32 en aldaar aangehaalde rechtspraak].

• 145.

  In het bijzonder blijkt uit de illustratieve lijst van „schade” die betrokkenen kunnen lijden in overweging 85, eerste volzin, AVG dat de Uniewetgever met name het enkele „verlies van controle” over hun eigen persoonsgegevens als gevolg van een inbreuk op deze verordening onder het begrip schade die de betrokkenen kunnen lijden, heeft willen opnemen, ook al heeft er geen concreet misbruik van de betrokken gegevens plaatsgevonden (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 82).

• 146.

  Daarnaast zou een uitlegging van artikel 82, lid 1, AVG, dat het begrip immateriële schade in de zin van deze bepaling niet de situaties omvat waarin een betrokkene zich uitsluitend beroept op zijn vrees voor toekomstig misbruik van zijn persoonsgegevens door derden, niet stroken met de door die verordening beoogde waarborg van een hoog beschermingsniveau voor natuurlijke personen op het vlak van verwerking van persoonsgegevens binnen de Unie (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 83).

• 147.

  Dat begrip kan evenmin worden beperkt tot schade van een bepaalde ernst, in het bijzonder met betrekking tot de duur van de periode waarin de negatieve gevolgen van de inbreuk op die verordening door de betrokkenen zijn geleden (zie in die zin arrest van 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punten 16 en 19 en aldaar aangehaalde rechtspraak).

• 148.

  Bijgevolg kan niet worden overwogen dat voor de aansprakelijkheid bedoeld in artikel 82, lid 1, AVG, naast de in punt 140 van het onderhavige arrest genoemde voorwaarden bijkomende voorwaarden kunnen worden gesteld, zoals de tastbaarheid van het nadeel of de objectieve aantoonbaarheid van de inbreuk (arrest van 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 17).

• 149.

  Deze bepaling vereist evenmin dat de door de betrokkene gestelde „immateriële schade” als gevolg van een bewezen inbreuk op de bepalingen van deze verordening een de-minimisdrempel moet bereiken opdat die schade kan worden vergoed (arrest van 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 18).

• 150.

  Hoewel niets eraan in de weg staat dat de openbaarmaking op internet van persoonsgegevens en het daaropvolgende verlies van controle daarover gedurende een korte tijdspanne voor de betrokkenen „immateriële schade” in de zin van artikel 82, lid 1, AVG kan veroorzaken waarvoor zij eventueel recht hebben op vergoeding, moeten deze betrokkenen dientengevolge nog wel aantonen dat zij daadwerkelijk dergelijke schade hebben geleden, hoe miniem ook (zie in die zin arresten van 14 december 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, punt 22, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 42).

• 151.

  Tot slot moet worden overwogen dat immateriële schade ten gevolge van een inbreuk in verband met persoonsgegevens bij de vaststelling van de schadevergoeding die op grond van het recht op vergoeding voor immateriële schade verschuldigd is, naar haar aard niet minder zwaar weegt dan letselschade (arrest van 20 juni 2024, Scalable Capital, C‑182/22 en C‑189/22, EU:C:2024:531, punt 39).

• 152.

  Wanneer een persoon daarnaast kan aantonen dat hij als gevolg van een inbreuk op de AVG schade heeft geleden in de zin van artikel 82 van deze verordening, is het een zaak van de rechtsorde van elke lidstaat om de criteria vast te stellen voor de begroting van de schadevergoeding die verschuldigd is in het kader van vorderingen in rechte die worden ingediend ter bescherming van de rechten die de justitiabelen aan dit artikel ontlenen, mits die vergoeding volledig en daadwerkelijk is (zie in die zin arrest van 20 juni 2024, Scalable Capital, C‑182/22 en C‑189/22, EU:C:2024:531, punt 43).

• 153.

  In dat verband vervult het recht op schadevergoeding waarin artikel 82, lid 1, voorziet, met name in geval van immateriële schade, een uitsluitend compensatoire functie, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet door de inbreuk op deze verordening geleden schade volledig te vergoeden, maar geen afschrikkende of punitieve functie [zie in die zin arresten van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punten 57 en 58, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 61].

• 154.

  Overigens geldt als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke uit hoofde van artikel 82 AVG dat er bij hem sprake is van schuld, hetgeen wordt vermoed, tenzij de verwerkingsverantwoordelijke bewijst dat het schadeveroorzakende feit hem op geen enkele wijze kan worden toegerekend, maar artikel 82 vereist niet dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van het bedrag van de krachtens dat artikel toe te kennen vergoeding voor immateriële schade (arresten van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 103, en 25 januari 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punt 52).

• 155.

  Zoals in punt 42 van het onderhavige arrest is overwogen, heeft de verwijzende rechter vermeld dat de Administrativen sad Dobrich had vastgesteld dat er immateriële schade was geleden, die bestond in negatieve psychologische ervaringen en gevoelens van OL, namelijk angst en onrust in verband met eventueel misbruik en gevoelens van machteloosheid en teleurstelling in verband met de onmogelijkheid om haar persoonsgegevens te beschermen. Bovendien was deze schade volgens die rechter het gevolg van de brief van het agentschap van 26 januari 2022, die had geleid tot schending van het in artikel 17, lid 1, AVG neergelegde recht op wissing van haar persoonsgegevens en tot de onrechtmatige verwerking van haar gegevens in de openbaar gemaakte vennootschapsovereenkomst.

• 156.

  Gelet op een en ander moet op de zevende vraag worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat een kortstondig verlies van controle over zijn persoonsgegevens van de betrokkene wegens de terbeschikkingstelling ervan aan het publiek online in het handelsregister van een lidstaat, kan volstaan om „immateriële schade” te veroorzaken, mits deze betrokkene aantoont dat hij daadwerkelijk schade heeft geleden, hoe miniem ook, maar dat voor het begrip immateriële schade niet ook hoeft te worden aangetoond dat tastbare negatieve gevolgen zijn ontstaan.

 Achtste vraag

• 157.

  Met zijn achtste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 3, AVG aldus moet worden uitgelegd dat een advies van de toezichthoudende autoriteit van een lidstaat dat is verstrekt op grond van artikel 58, lid 3, onder b), van die verordening, volstaat om de autoriteit belast met het bijhouden van het handelsregister van die lidstaat die de hoedanigheid van „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, van die verordening heeft, te vrijwaren van aansprakelijkheid uit hoofde van artikel 82, lid 2, van die verordening.

• 158.

  In de eerste plaats moet er in verband met de aansprakelijkheidsregeling in artikel 82 AVG aan worden herinnerd dat lid 1 van dit artikel bepaalt dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, het recht heeft om van de verwerkingsverantwoordelijke of de verwerker vergoeding te ontvangen voor de geleden schade. Zoals blijkt uit punt 140 van het onderhavige arrest gelden voor dat recht op schadevergoeding drie cumulatieve voorwaarden.

• 159.

  Overeenkomstig artikel 82, lid 2, eerste volzin, van deze verordening is elke verwerkingsverantwoordelijke die bij verwerking is betrokken, aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. In deze bepaling – waarin de aansprakelijkheidsregeling, waarvan het principe in lid 1 van dat artikel is neergelegd, nader wordt omschreven – worden de drie voorwaarden voor het ontstaan van het recht op schadevergoeding overgenomen, namelijk, ten eerste, een verwerking van persoonsgegevens die inbreuk maakt op de AVG; ten tweede, door de betrokkene geleden schade en, ten derde, een oorzakelijk verband tussen de onrechtmatige verwerking en de schade [arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C‑300/21, EU:C:2023:370, punt 36].

• 160.

  Volgens artikel 82, lid 3, AVG wordt een verwerkingsverantwoordelijke of verwerker echter van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

• 161.

  Zoals het Hof al heeft geoordeeld blijkt uit een gecombineerde analyse van de leden 1 tot en met 3 van artikel 82 AVG, de context van dat artikel en de doelstellingen die de wetgever van de Unie met die verordening nastreeft, dat dit artikel voorziet in een regeling inzake schuldaansprakelijkheid waarbij de bewijslast niet rust op de persoon die schade heeft geleden, maar op de verwerkingsverantwoordelijke (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punten 94 en 95).

• 162.

  In het bijzonder zou het niet stroken met de doelstelling van een hoge mate van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens indien zou worden gekozen voor een uitlegging dat de betrokkenen die schade hebben geleden ten gevolge van een inbreuk op de AVG, in het kader van een vordering tot schadevergoeding op grond van artikel 82 AVG niet alleen het bestaan van die inbreuk en de daaruit voor hen voortvloeiende schade moeten bewijzen, maar ook het bestaan van schuld in de vorm van opzet of nalatigheid bij de verwerkingsverantwoordelijke, en zelfs de mate van die schuld, terwijl artikel 82 AVG dat niet verlangt (zie in die zin arrest van 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punt 99).

• 163.

  Overeenkomstig de rechtspraak die in punt 154 van het onderhavige arrest is aangehaald, geldt als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke overeenkomstig artikel 82 AVG dat er bij hem sprake is van schuld, hetgeen wordt vermoed, tenzij de verwerkingsverantwoordelijke bewijst dat het schadeveroorzakende feit hem op geen enkele wijze kan worden toegerekend.

• 164.

  Zoals blijkt uit de uitdrukkelijke toevoeging van de woorden „op geen enkele wijze” tijdens de wetgevingsprocedure, moeten de omstandigheden waarin de verwerkingsverantwoordelijke aanspraak kan maken op vrijstelling van zijn wettelijke aansprakelijkheid uit hoofde van artikel 82 AVG, strikt worden beperkt tot de omstandigheden waarin deze verantwoordelijke kan aantonen dat de schade niet aan hem kan worden toegerekend (arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 70).

• 165.

  Daarnaast heeft het Hof geoordeeld dat de verwerkingsverantwoordelijke zich in geval van een inbreuk in verband met persoonsgegevens door een derde, zoals een cybercrimineel, of door een persoon die handelt onder het gezag van de verwerkingsverantwoordelijke, op grond van artikel 82, lid 3, AVG enkel kan bevrijden van zijn aansprakelijkheid door aan te tonen dat er geen causaal verband bestaat tussen zijn eventuele niet-nakoming van de verplichting tot gegevensbescherming die uit hoofde van die verordening op hem rust en de door de natuurlijke persoon geleden schade (zie in die zin arresten van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 72, en 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 51).

• 166.

  Voor de vrijstelling van aansprakelijkheid van die verwerkingsverantwoordelijke krachtens dat artikel 82, lid 3, is het dus niet voldoende dat hij aantoont dat hij instructies had gegeven aan personen die onder zijn gezag handelden in de zin van die verordening en dat een van deze personen zijn verplichting om die instructies op te volgen niet is nagekomen en aldus heeft bijgedragen tot het ontstaan van de schade in kwestie (zie in die zin arrest van 11 april 2024, juris, C‑741/21, EU:C:2024:288, punt 52).

• 167.

  In de tweede plaats moet er in verband met de bewijsregels aan worden herinnerd dat de AVG geen voorschriften bevat over de toelating en de bewijskracht van een bewijsmiddel die moeten worden toegepast door nationale rechters bij wie op grond van artikel 82 van deze verordening een vordering tot schadevergoeding is ingesteld. Derhalve is het bij ontbreken van Unievoorschriften op dat gebied een zaak van de interne rechtsorde van de lidstaten om de regels vast te stellen voor vorderingen die worden ingediend ter bescherming van de rechten die de justitiabelen aan artikel 82 AVG ontlenen, en in het bijzonder voor de regels betreffende de bewijsmiddelen, op voorwaarde dat de beginselen van gelijkwaardigheid en doeltreffendheid worden geëerbiedigd (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, punt 60 en aldaar aangehaalde rechtspraak).

• 168.

  In de derde plaats moet er wat betreft een advies uit hoofde van artikel 58, lid 3, onder b), AVG aan worden herinnerd dat in dat artikel de bevoegdheden van de toezichthoudende autoriteiten worden vastgesteld.

• 169.

  Artikel 58 AVG verleent die toezichthoudende autoriteiten aldus onderzoeksbevoegdheden (lid 1), bevoegdheden tot het nemen van corrigerende maatregelen (lid 2), bepaalde autorisatie- en adviesbevoegdheden (lid 3) en de bevoegdheid om inbreuken op deze verordening ter kennis van de gerechtelijke autoriteiten te brengen en, waar passend, daartegen een rechtsvordering in te stellen teneinde de bepalingen van deze verordening te doen naleven (lid 5).

• 170.

  Onder de in artikel 58, lid 3, AVG genoemde bevoegdheden is de in punt b) genoemde bevoegdheid om „op eigen initiatief dan wel op verzoek, aan het nationaal parlement, aan de regering van de lidstaat, of overeenkomstig het lidstatelijke recht aan andere instellingen en organen alsmede aan het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens”.

• 171.

  Uit de bewoordingen van die bepaling, met name uit de term advies, volgt duidelijk dat het verstrekken van een dergelijk advies onder de adviesbevoegdheden en niet onder de autorisatiebevoegdheden van de toezichthoudende autoriteit valt.

• 172.

  De termen advies en adviesbevoegdheden wijzen er ook op dat een advies op grond van artikel 58, lid 3, onder b), AVG uit hoofde van het Unierecht niet juridisch bindend is.

• 173.

  Overweging 143 AVG bevestigt die uitlegging. Die overweging vermeldt namelijk dat „[i]edere natuurlijke of rechtspersoon het recht [dient] te hebben om tegen een besluit van een toezichthoudende autoriteit dat ten aanzien van die persoon rechtsgevolgen heeft, voor het bevoegde nationale gerecht een doeltreffende voorziening in rechte in te stellen. Een dergelijk besluit heeft meer bepaald betrekking op de uitoefening van met onderzoek, correctie en toestemming verband houdende bevoegdheden door de toezichthoudende autoriteit, of op de afwijzing van klachten. Het recht een doeltreffende voorziening in rechte in te stellen geldt echter niet voor door de toezichthoudende autoriteiten getroffen maatregelen die niet juridisch bindend zijn, zoals adviezen.”

• 174.

  Aangezien een aan de verwerkingsverantwoordelijke verstrekt advies juridisch niet bindend is, vormt dat op zich geen bewijs dat de schade niet aan die verantwoordelijke kan worden toegerekend in de zin van de in punt 164 van het onderhavige arrest aangehaalde rechtspraak, en volstaat dat dus niet om die verantwoordelijke te vrijwaren van aansprakelijkheid op grond van artikel 82, lid 3, AVG.

• 175.

  Een dergelijke uitlegging van artikel 82, lid 3, is ook in overeenstemming met de door de AVG nagestreefde doelstellingen om een hoog niveau van bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens te waarborgen en te garanderen dat de schade die zij mogelijk lijden als gevolg van verwerkingen die in strijd met deze verordening zijn verricht, daadwerkelijk wordt vergoed. Indien de verwerkingsverantwoordelijke zich zou kunnen beroepen op een juridisch niet-bindend advies om aan elke aansprakelijkheid, en dus aan elke verplichting tot schadevergoeding, te ontkomen, zou hij er immers niet toe worden aangezet al het mogelijke te doen om dit hoge beschermingsniveau te waarborgen en de door die verordening opgelegde verplichtingen na te komen.

• 176.

  Gelet op een en ander moet op de achtste vraag worden geantwoord dat artikel 82, lid 3, AVG aldus moet worden uitgelegd dat een advies van de toezichthoudende autoriteit van een lidstaat dat is verstrekt op grond van artikel 58, lid 3, onder b), van die verordening, niet volstaat om de autoriteit belast met het bijhouden van het handelsregister van die lidstaat die de hoedanigheid van „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, van die verordening heeft, te vrijwaren van aansprakelijkheid uit hoofde van artikel 82, lid 2, van die verordening.

 Kosten

• 177.

  Ten aanzien van de partijen in het hoofdgeding is de procedure als een aldaar gerezen incident te beschouwen, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

  Het Hof (Eerste kamer) verklaart voor recht:

  1)      Artikel 21, lid 2, van richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad van 14 juni 2017 aangaande bepaalde aspecten van het vennootschapsrecht

  moet aldus worden uitgelegd dat

  een lidstaat op grond daarvan niet verplicht is om toe te staan dat een vennootschapsovereenkomst waarvoor de verplichte openbaarmaking van deze richtlijn geldt, in een handelsregister openbaar wordt gemaakt indien deze overeenkomst naast de minimaal verplichte gegevens ook andere persoonsgegevens bevat waarvan de openbaarmaking naar het recht van die lidstaat niet vereist is.

  2)      Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), met name artikel 4, punten 7 en 9, ervan,

  moet aldus worden uitgelegd dat

  de autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat die in dat register de persoonsgegevens openbaar maakt die zijn opgenomen in een vennootschapsovereenkomst waarvoor de verplichte openbaarmaking van richtlijn 2017/1132 geldt en die haar is voorgelegd in het kader van een verzoek om inschrijving van de betrokken vennootschap in dat register, zowel de „ontvanger” als de „verwerkingsverantwoordelijke” van die gegevens is – met name in zoverre als zij ze openbaar maakt – in de zin van deze bepaling, zelfs indien die overeenkomst persoonsgegevens bevat die niet vereist zijn door deze richtlijn of door het recht van die lidstaat.

  3)      Richtlijn 2017/1132, met name artikel 16 ervan, en artikel 17 van verordening 2016/679

  moeten aldus worden uitgelegd dat

  zij zich verzetten tegen een regeling of praktijk van een lidstaat die ertoe leidt dat de met het bijhouden van het handelsregister van die lidstaat belaste autoriteit elk verzoek om wissing van persoonsgegevens in een in dat register openbaar gemaakte vennootschapsovereenkomst die door die richtlijn of het nationale recht van deze lidstaat niet zijn vereist, afwijst indien – in strijd met de procedurevoorschriften in die regeling – aan die autoriteit geen afschrift van die overeenkomst is verstrekt waarin die gegevens onleesbaar zijn gemaakt.

  4)      Artikel 4, punt 1, van verordening 2016/679

  moet aldus worden uitgelegd dat

  de met de hand gezette handtekening van een natuurlijke persoon onder het begrip persoonsgegevens in de zin van deze bepaling valt.

  5)      Artikel 82, lid 1, van verordening 2016/679

  moet aldus worden uitgelegd dat

  een kortstondig verlies van controle over zijn persoonsgegevens van de betrokkene wegens de terbeschikkingstelling ervan aan het publiek online in het handelsregister van een lidstaat, kan volstaan om „immateriële schade” te veroorzaken, mits deze betrokkene aantoont dat hij daadwerkelijk schade heeft geleden, hoe miniem ook, maar dat voor het begrip immateriële schade niet ook hoeft te worden aangetoond dat tastbare negatieve gevolgen zijn ontstaan.

  6)      Artikel 82, lid 3, van verordening 2016/679

  moet aldus worden uitgelegd dat

  een advies van de toezichthoudende autoriteit van een lidstaat dat is verstrekt op grond van artikel 58, lid 3, onder b), van die verordening, niet volstaat om de autoriteit belast met het bijhouden van het handelsregister van die lidstaat die de hoedanigheid van „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, van die verordening heeft, te vrijwaren van aansprakelijkheid uit hoofde van artikel 82, lid 2, van die verordening.

  ondertekeningen

  *      Procestaal: Bulgaars.