Trybunał Sprawiedliwości (pierwsza izba) w wyroku z dnia 4 października 2024 r., C-200/23, wyjaśnił, że:
Art. 21 ust. 2 dyrektywy 2017/1132 w sprawie niektórych aspektów prawa spółek należy interpretować w ten sposób, że nie nakłada on na państwo członkowskie obowiązku zezwolenia na ujawnienie w rejestrze handlowym umowy spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w tej dyrektywie i zawierającej – inne niż minimalnie wymagane dane osobowe – dane osobowe, których publikacja nie jest wymagana przez prawo tego państwa członkowskiego.
Art. 82 ust. 3 ogólnego rozporządzenia o ochronie danych (2016/679) należy interpretować w ten sposób, że opinia organu nadzorczego państwa członkowskiego wydana na podstawie art. 58 ust. 3 lit. b tego rozporządzenia nie wystarcza do zwolnienia z odpowiedzialności, na podstawie art. 82 ust. 2 wspomnianego rozporządzenia, organu odpowiedzialnego za prowadzenie rejestru handlowego tego państwa członkowskiego mającego status „administratora” w rozumieniu art. 4 pkt 7 tego rozporządzenia.
Art. 4 pkt 1 ogólnego rozporządzenia o ochronie danych (2016/679) należy interpretować w ten sposób, że odręczny podpis osoby fizycznej wchodzi w zakres pojęcia „danych osobowych” w rozumieniu tego przepisu.
Art. 82 ust. 1 ogólnego rozporządzenia o ochronie danych (2016/679) należy interpretować w ten sposób, że ograniczona w czasie utrata przez osobę, której dane dotyczą, kontroli nad jej danymi osobowymi z powodu publicznego udostępnienia tych danych online w rejestrze handlowym państwa członkowskiego może wystarczyć do spowodowania „szkody niemajątkowej”, pod warunkiem że osoba ta wykaże, iż faktycznie poniosła taką szkodę, nawet jeśli jest ona nieznaczna, przy czym to pojęcie „szkody niemajątkowej” nie wymaga wykazania istnienia dodatkowych wymiernych negatywnych konsekwencji.
Ogólne rozporządzenie o ochronie danych (2016/679), w szczególności jego art. 4 pkt 7 i 9, należy interpretować w ten sposób, że organ odpowiedzialny za prowadzenie rejestru handlowego państwa członkowskiego, który publikuje w tym rejestrze dane osobowe zawarte w umowie spółki podlegającej obowiązkowemu ujawnieniu przewidzianemu w dyrektywie 2017/1132 w sprawie niektórych aspektów prawa spółek, która została mu przekazana w ramach wniosku o wpis tej spółki do wspomnianego rejestru, jest zarówno „odbiorcą” tych danych – w szczególności w zakresie, w jakim udostępnia je publicznie – jak i „administratorem” wspomnianych danych w rozumieniu tego przepisu, nawet jeśli umowa ta zawiera dane osobowe niewymagane przez tę dyrektywę lub prawo tego państwa członkowskiego.
Dyrektywę 2017/1132 w sprawie niektórych aspektów prawa spółek, w szczególności jej art. 16, a także art. 17 ogólnego rozporządzenia o ochronie danych (2016/679) należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu lub praktyce państwa członkowskiego, które prowadzą do odmowy przez organ odpowiedzialny za prowadzenie rejestru handlowego tego państwa członkowskiego uwzględnienia każdego wniosku o usunięcie danych osobowych, których nie wymaga ta dyrektywa lub prawo wspomnianego państwa członkowskiego, zawartych w umowie spółki opublikowanej w tym rejestrze, jeżeli odpis tej umowy, utajniający te dane, nie został przekazany temu organowi, wbrew zasadom proceduralnym przewidzianym w tym uregulowaniu.