Hof geeft verduidelijking over niet-verplichte persoonsgegevens

HvJ EU 4 oktober 2024, IT 4684; ECLI:EU:C:2024:827 (Agentsia po vpisvaniyata) OL heeft het Bulgaarse agentschap voor registraties verzocht om verwijdering van haar naam, voornaam, identificatienummer, gegevens van haar identiteitskaart, adres en handtekening uit een vennootschapsovereenkomst. Het agentschap verwijderde uiteindelijk alleen haar identificatienummer, identiteitskaartgegevens en adres. De rechter in eerste aanleg oordeelde dat het agentschap OL's recht op gegevenswissing had geschonden en kende haar een schadevergoeding toe. Het Hof oordeelt dat artikel 21 lid 2 Richtlijn 2017/1132 geen verplichting oplegt aan lidstaten om de openbaarmaking van niet-verplichte persoonsgegevens toe te staan. Het Hof oordeelt verder dat het agentschap in dit geval zowel ontvanger als verwerkingsverantwoordelijke is van de persoonsgegevens in de zin van de AVG. Dit betekent dat het agentschap verantwoordelijk is voor de naleving van de AVG, inclusief het recht op gegevenswissing. Het Hof concludeert dat de Bulgaarse regeling, die de afwijzing van een verzoek tot verwijdering van niet-verplichte persoonsgegevens toestaat als er geen afschrift is verstrekt waarin die gegevens onleesbaar zijn gemaakt, in strijd is met Richtlijn 2017/1132 en artikel 17 AVG. Bovendien oordeelt het Hof dat een handgeschreven handtekening een persoonsgegeven is in de zin van de AVG. Tot slot bevestigt het Hof dat zelfs een kortstondig verlies van controle over persoonsgegevens immateriële schade kan opleveren in de zin van artikel 82 lid 1 AVG.

Het Hof (Eerste kamer) verklaart voor recht:

1)      Artikel 21, lid 2, van richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad van 14 juni 2017 aangaande bepaalde aspecten van het vennootschapsrecht

moet aldus worden uitgelegd dat

een lidstaat op grond daarvan niet verplicht is om toe te staan dat een vennootschapsovereenkomst waarvoor de verplichte openbaarmaking van deze richtlijn geldt, in een handelsregister openbaar wordt gemaakt indien deze overeenkomst naast de minimaal verplichte gegevens ook andere persoonsgegevens bevat waarvan de openbaarmaking naar het recht van die lidstaat niet vereist is.

2)      Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming), met name artikel 4, punten 7 en 9, ervan,

moet aldus worden uitgelegd dat

de autoriteit die belast is met het bijhouden van het handelsregister van een lidstaat die in dat register de persoonsgegevens openbaar maakt die zijn opgenomen in een vennootschapsovereenkomst waarvoor de verplichte openbaarmaking van richtlijn 2017/1132 geldt en die haar is voorgelegd in het kader van een verzoek om inschrijving van de betrokken vennootschap in dat register, zowel de „ontvanger” als de „verwerkingsverantwoordelijke” van die gegevens is – met name in zoverre als zij ze openbaar maakt – in de zin van deze bepaling, zelfs indien die overeenkomst persoonsgegevens bevat die niet vereist zijn door deze richtlijn of door het recht van die lidstaat.

3)      Richtlijn 2017/1132, met name artikel 16 ervan, en artikel 17 van verordening 2016/679

moeten aldus worden uitgelegd dat

zij zich verzetten tegen een regeling of praktijk van een lidstaat die ertoe leidt dat de met het bijhouden van het handelsregister van die lidstaat belaste autoriteit elk verzoek om wissing van persoonsgegevens in een in dat register openbaar gemaakte vennootschapsovereenkomst die door die richtlijn of het nationale recht van deze lidstaat niet zijn vereist, afwijst indien – in strijd met de procedurevoorschriften in die regeling – aan die autoriteit geen afschrift van die overeenkomst is verstrekt waarin die gegevens onleesbaar zijn gemaakt.

4)      Artikel 4, punt 1, van verordening 2016/679

moet aldus worden uitgelegd dat

de met de hand gezette handtekening van een natuurlijke persoon onder het begrip persoonsgegevens in de zin van deze bepaling valt.

5)      Artikel 82, lid 1, van verordening 2016/679

moet aldus worden uitgelegd dat

een kortstondig verlies van controle over zijn persoonsgegevens van de betrokkene wegens de terbeschikkingstelling ervan aan het publiek online in het handelsregister van een lidstaat, kan volstaan om „immateriële schade” te veroorzaken, mits deze betrokkene aantoont dat hij daadwerkelijk schade heeft geleden, hoe miniem ook, maar dat voor het begrip immateriële schade niet ook hoeft te worden aangetoond dat tastbare negatieve gevolgen zijn ontstaan.

6)      Artikel 82, lid 3, van verordening 2016/679

moet aldus worden uitgelegd dat

een advies van de toezichthoudende autoriteit van een lidstaat dat is verstrekt op grond van artikel 58, lid 3, onder b), van die verordening, niet volstaat om de autoriteit belast met het bijhouden van het handelsregister van die lidstaat die de hoedanigheid van „verwerkingsverantwoordelijke” in de zin van artikel 4, punt 7, van die verordening heeft, te vrijwaren van aansprakelijkheid uit hoofde van artikel 82, lid 2, van die verordening.