O kuriózním případě musel v nedávné době rozhodovat Soudní dvůr Evropské unie („SDEU“) – může zveřejnění společenské smlouvy společnosti znamenat porušení práv člověka plynoucích z nařízení GDPR? Bulharská Agentura pro provádění zápisů do veřejných rejstříků (dále jako „Agentura“), tedy entita vedoucí bulharský obchodní rejstřík (v Česku obdobný úřad/agentura není, avšak stejnou agendu mají na starost krajské soudy), odmítla z bulharského obchodního rejstříku („OR“) vymazat určité osobní údaje paní OL. Ta v tomto jednání spatřovala porušení jejích práv garantovaných nařízením GDPR a Agenturu žalovala.

Co žalobě předcházelo

Paní OL je společnicí společnosti s ručením omezeným. Ta, jako každá jiná obdobná společnost, podléhá požadavku na založení společenské smlouvy do OR. Založená smlouva obsahovala krom jména a příjmení paní OL také její identifikační číslo, číslo jejího občanského průkazu, datum a místo vydání tohoto průkazu, adresu jejího bydliště a její podpis. Agentura i s těmito údaji společenskou smlouvu v OR zveřejnila.

Zhruba po půl roce se paní OL začala domáhat vymazání těchto údajů z rejstříku. Když ale Agentura neodpovídala, podala stížnost ke Správnímu soudu, který nařídil Agentuře vymazat tyto osobní údaje. V reakci na tuto výzvu Agentura požádala formou dopisu paní OL o zaslání společenské smlouvy se zakrytými údaji.

I tento dopis však shledala paní OL a Správní soud za neplatný, a rozsudkem udělil Agentuře povinnost zaplatit paní OL cca 255 eur jako náhradu nehmotné újmy způsobené její nečinností. Agentura se proti tomuto rozhodnutí rozhodla bojovat, a tak se tento spor dostal přes bulharský Nejvyšší správní soud až k SDEU.

Předběžné otázky a rozhodnutí SDEU

Bulharský Nejvyšší správní soud SDEU nešetřil a položil mu rovnou 8 předběžných otázek. Na některé však SDEU vzhledem k jejich provázanosti neodpovídal, a některé nebyly tak zajímavé, aby zde stály za zmínku. Mezi zajímavé pak lze zařadit zejména otázky 5, 6, 7 a 8, které se týkaly GDPR.

Pátá otázka směřovala k tomu, zda Agentura v tomto případě jednala jako příjemce osobních údajů, anebo jako jejich správce. SDEU, stejně jako generální advokátka, dospěl k závěru, že ačkoli Agentura nekontroluje údaje v jí předaných listinách, které následně publikuje, jedná jako správce osobních údajů v těchto listinách obsažených. A to i v případě, že jí měla být předána verze listiny se zakrytými osobními údaji, ale taková kopie jí předána nebyla. To, co tedy z Agentury (potažmo i českých soudů) dělá správce osobních údajů, je jejich zveřejnění v obchodním rejstříku.

Další otázka byla o něco přímočařejší: je vlastnoruční podpis osobní údaj? Vzhledem ke své rozhodovací praxi SDEU konstatoval, že o osobní údaj jde, a to zejména protože poskytuje informace o podepisující osobě, a zároveň slouží k její identifikaci.

Předposlední otázka mířila k výkladu pojmu „nehmotná újma“ podle GDPR a jejím předpokladům ve vztahu k projednávanému případu. Podle SDEU může již samotná ztráta kontroly nad svými osobními údaji, jež byly zveřejněny v obchodním rejstříku, představovat nehmotnou újmu dle čl. 82 GDPR, a to za předpokladu, že subjekt jakoukoli nehmotnou újmu prokáže. Takovou nehmotnou újmou může být i obava ze zneužití zveřejněných osobních údajů.

Ani vypořádání se s poslední otázkou moc času SDEU nezabralo. Bulharský soud hledal odpověď na otázku, zda může stanovisko vydané dozorovým orgánem (v ČR ÚOOÚ) zcela vyloučit odpovědnost Agentury za škodu. Odpověď byla samozřejmě záporná, jelikož stanovisko není právně závazné, a možnost takto vyloučit odpovědnost za škodu by zcela odporovala významu a cílům nařízení GDPR.

Co teď?

Nejvyšší správní soud v Bulharsku bude muset ve svém rozhodnutí zohlednit i všechny odpovědi SDEU na jím položené otázky, vše ale nasvědčuje tomu, že Agentura byla pokutována právem, osobní údaje paní OL zveřejněny být vůbec neměly, a na žádost měly být smazány.

Ačkoli se jedná o zajímavé rozhodnutí, jeho aplikace v jiných členských státech, včetně České republiky, nebude tak jednoduchá, jak se může zdát. Každá země má totiž jinak nastavené zákonem zveřejňované osobní údaje. I tak ale v některých částech dává rozhodnutí zajímavý základ pro případné obdobné tuzemské spory.

Celé rozhodnutí je možné najít na stránkách https://curia.europa.eu/ pod spisovou značkou C-200/23.