lagen.
EU-domstolen

2. Den hänskjutande domstolen vill få klarhet i huruvida skyldigheten att offentliggöra ifrågavarande uppgifter är ett krav enligt unionsrätten. Den har således ombett EU-domstolen att klargöra huruvida begreppet personer som ”deltar i förvaltning, tillsyn eller kontroll av bolaget” i artikel 14 d ii) i Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt( 6 ) omfattar varje aktieägare i ett aktiebolag och huruvida en medlemsstat är skyldig att offentliggöra specificerade uppgifter om varje aktieägare i ett sådant bolag i enlighet med artikel 16.3 i det direktivet. För det fall sådana uppgifter måste göras tillgängliga för allmänheten enligt direktiv 2017/1132, vill den hänskjutande domstolen få klarhet i huruvida artikel 14 d ii) i det direktivet är giltig mot bakgrund av rätten till respekt för privatlivet och familjelivet som garanteras i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och rätten till skydd av personuppgifter som garanteras i artikel 8 i stadgan.

CELEX
62024CC0798
Typ
EU-domstolen

Källa

Preliminär utgåva

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

RIMVYDAS NORKUS

föredraget den 18 december 2025( 1 )

Mål C ‑ 798/24 [Jautiva ( i ) ]

A m.fl.

ytterligare deltagare i rättegången:

Latvijas Republikas Saeima

(begäran om förhandsavgörande från Latvijas Republikas Satversmes tiesa (Författningsdomstolen, Lettland))

” Begäran om förhandsavgörande – Direktiv (EU) 2017/1132 – Bolagsrätt – Artikel 14 d ii – Tolkning av begreppet ’deltar i ledning, tillsyn eller kontroll av bolaget’ – Skyldighet enligt nationell rätt att offentliggöra specificerade uppgifter om varje aktieägare i ett publikt aktiebolag – Skydd för fysiska personer med avseende på behandling av personuppgifter – Artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna – Förordning (EU) 2016/679 – Artikel 5 – Principer för behandling av personuppgifter – Artikel 6 – Laglig behandling av personuppgifter – Proportionalitetsprincipen ”

I. Inledning

1. Förevarande begäran om förhandsavgörande från Latvijas Republikas Satversmes tiesa (Förvaltningsdomstolen, Lettland)( 2 ) avser skyldigheten enligt lettisk rätt att göra vissa specificerade uppgifter om aktieägarna( 3 ) i publika aktiebolag( 4 ) som har bildats enligt lettisk rätt tillgängliga för allmänheten. ”Oidentifierade användare” kan ta del av de uppgifterna på handelsregistrets webbplats.( 5 ) Allmänheten måste således inte styrka ett berättigat intresse av att få tillgång till sådana uppgifter.

2. Den hänskjutande domstolen vill få klarhet i huruvida skyldigheten att offentliggöra ifrågavarande uppgifter är ett krav enligt unionsrätten. Den har således ombett EU-domstolen att klargöra huruvida begreppet personer som ”deltar i förvaltning, tillsyn eller kontroll av bolaget” i artikel 14 d ii) i Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt( 6 ) omfattar varje aktieägare i ett aktiebolag och huruvida en medlemsstat är skyldig att offentliggöra specificerade uppgifter om varje aktieägare i ett sådant bolag i enlighet med artikel 16.3 i det direktivet. För det fall sådana uppgifter måste göras tillgängliga för allmänheten enligt direktiv 2017/1132, vill den hänskjutande domstolen få klarhet i huruvida artikel 14 d ii) i det direktivet är giltig mot bakgrund av rätten till respekt för privatlivet och familjelivet som garanteras i artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och rätten till skydd av personuppgifter som garanteras i artikel 8 i stadgan.

3. Latvijas Republikas Satversmes tiesa (Författningsdomstolen) vill även få klarhet i huruvida artikel 5.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)( 7 ) (nedan kallad dataskyddsförordningen) ska tolkas så, att allmänheten kan få tillgång till sådana uppgifter utan att behöva styrka ett berättigat intresse av att få tillgång till dem, för att säkerställa vissa syften, nämligen i) att säkerställa ett öppet företagsklimat och skydda tredje mans intressen, ii) att förhindra penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen( 8 ) och iii) att tillhandahålla information som är nödvändig för att verkställa nationella och internationella sanktioner samt EU-sanktioner. Den hänskjutande domstolen vill i detta avseende få det klarlagt huruvida de målen rimligen kan uppnås på ett lika effektivt sätt i enlighet med det förfarande som föreskrivs i lettisk rätt för att begära tillgång till information som omfattas av restriktioner.( 9 )

4. Den hänskjutande domstolen vill dessutom få klarhet i huruvida domen i målet Luxembourg Business Registers( 10 ) – där EU-domstolen slog fast att det unionsrättsliga kravet på att medlemsstaterna ska se till att uppgifterna om verkligt huvudmannaskap i bolag och andra juridiska enheter som bildats inom deras territorium i samtliga fall är tillgängliga för allmänheten är ogiltigt – kan överföras till att gälla offentliggörande av information som avser samtliga aktieägare i ett aktiebolag, trots att mängden uppgifter och syftet med offentliggörandet skiljer sig åt i de båda situationerna.

II. Tillämpliga bestämmelser

A. Unionsrätt

5. Artiklarna 7, 8 och 52.1 i stadgan, skälen 3, 7 och 8 samt artiklarna 14 och 16 i direktiv 2017/1132 och artiklarna 5 och 6 i dataskyddsförordningen är av särskild betydelse i förevarande mål.

B. Lettisk rätt

6. Artikel 8 i komerclikums (handelslagen)( 11 ) har rubriken ”Posternas innehåll i handelsregistret”. I artikel 8.3.3 och 8.3.4 föreskrivs följande:

”(3) De uppgifter om ett kapitalbolag som ska föras in i handelsregistret förtecknas i det följande:

3) förnamn, efternamn, personnummer (om personnummer saknas, födelsedatum, identitetshandlingens nummer och utfärdandedatum samt det land och den myndighet som har utfärdat den) och position för ledamöterna i kapitalbolagets styrelse och medlemmarna i kapitalbolagets tillsynsråd (om kapitalbolaget har ett sådant råd),

4) styrelseledamöternas befogenhet att företräda bolaget enskilt eller gemensamt,

…”

7. I artikel 12 i handelslagen, med rubriken ”Offentliggörande i handelsregistret”, föreskrivs följande:

”(1) Uppgifter som förs in i handelsregistret ska ha verkan i förhållande till tredje man från den tidpunkt då de offentliggörs …

…”

8. I artikel 235 i handelslagen, med rubriken ”Uppgifter som ska föras in i aktieägarregistret”, föreskrivs följande:

”(1) Varje post i aktieägarregistret ska innehålla uppgift om bolagets namn, registreringsnummer, registrerad adress och, i tillämpliga fall, information om huruvida bolaget är föremål för likvidations- eller insolvensförfaranden, samt innehålla dokumenttiteln ”Införande i aktieägarregistret” och följande uppgifter:

1) Referensnummer och datum för införandet.

2) Registreringens referensnummer, med nummer i fallande ordning från och med den första posten i aktieboken.

3) Aktienummer.

4) Uppgifter om aktieägarna:

a) Fysiska personer: förnamn, efternamn, personnummer (om personnummer saknas, födelsedatum, identitetshandlingens nummer och utfärdandedatum, det land och den myndighet som har utfärdat den) och personens kontaktadress,

b) Juridiska personer och partnerskap: namn, registreringsnummer och registrerad adress.

5) Aktieägarens e‑postadress, om aktieägaren har begärt att bolaget ska använda den för att kommunicera med denne.

6) Aktieslag, aktienummer, det nominella värdet av varje aktieägares aktier samt deras röstvärde.

7) Aktiernas betalningsstatus.

8) Aktieägarnas gemensamma representant som har utsetts i enlighet med förfarandet i artikel 157 i denna lag, med angivande av de uppgifter som avses i punkt 1.4 och 1.5 i denna artikel.

9) Information om aktier som bolaget själv har förvärvat, med angivande av skälen till förvärvet.

…”

9. I artikel 4. 10 femte stycket, artikel 4. 11 första stycket led 2, artikel 4. 15 första stycket led 2 b, artikel 4. 15 första stycket led 3 a och artikel 4. 15 andra, tredje och fjärde styckena i likums ”Par Latvijas Republikas Uzņēmumu reģistru” (lagen om handelsregistret i Republiken Lettland)( 12 ) (nedan kallad lagen om handelsregistret) föreskrivs följande:

”Artikel 4. 10 Rätt till tillgång till information i handelsregistret

Handelsregistret ska lämna ut de uppgifter och dokument som ges i den offentliga delen av registreringsakten (artikel 4. 15 första stycket) utan kostnad genom direktansluten dataöverföring (inbegripet bulknedladdning).

Artikel 4. 11 Uppgifter som ska publiceras på handelsregistrets webbplats

Handelsregistret ska säkerställa att en oidentifierad användare har allmän tillgång till följande senaste (uppdaterade) uppgifter på webbplatsen om juridiska personer och juridiska händelser som har förts in de register som handelsregistret förvaltar:

2) Andra uppgifter som har förts in i registret.

Artikel 4. 15 Offentliga och icke-offentliga delar av registreringsakten

Den offentliga delen av registreringsakten ska innehålla följande:

2) Andra uppgifter som har förts in i registret:

b) Uppgifter från posten i registret över aktieägare (delägare) i ett kapitalbolag avseende aktieägarna (delägarna) i det bolaget ….

3) Följande dokument som utgör en del av registreringsakten:

a) i handelsregistret – … införandet i registret över aktieägare (delägare), …

De dokument och uppgifter som utgör en del av registreringsakten och som inte nämns i led 1 i denna artikel ska tas med i den icke‑offentliga delen av registreringsakten.

I fall där poster i registret eller registrerade uppgifter har klassificerats som information som omfattas av restriktioner eller om allmänhetens tillgång till dem har begränsats genom lagstiftning, ska de tas med i den icke-offentliga delen av registreringsakten.

Uppgifter och dokument som finns med i den icke-offentliga delen av registreringsakten (leden 2 och 3 i denna artikel) är information som omfattas av restriktioner. Brottsbekämpande myndigheter kan gå tillgång till dem för att utföra uppdrag som specificeras i lagar och andra författningar. Finanšu izlūkošanas dienests (Finansunderrättelsemyndigheten, Lettland) samt tillsyns- och kontrollmyndigheter inom området för förhindrande av penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen har obegränsad tillgång till dem. Andra myndigheter måste däremot lämna in en motiverad begäran. Enskilda ska begära tillgång till de uppgifter och dokument som finns med i den icke-offentliga delen av registreringsakten i enlighet med förfarandet för att begära ut information som omfattas av restriktioner, vilket föreskrivs i informācijas atklātības likums [(lagen om informationsfrihet)].”

III. Målet vid den nationella domstolen och tolknings- och giltighetsfrågorna

10. Sökandena i målet vid Latvijas Republikas Satversmes tiesa (Författningsdomstolen) är 17 minoritetsaktieägare i ett aktiebolag. De anser att artikel 4. 15 första stycket led 2 b i lagen om handelsregistret (nedan kallad den omtvistade bestämmelsen) strider mot artikel 96 i Latvijas Republikas satversme (Republiken Lettlands konstitution) (nedan kallad den lettiska konstitutionen), i vilken det föreskrivs att ”var och en har rätt till respekt för sitt privatliv, sin bostad och sina kommunikationer”.

11. Enligt sökandena har den lettiska lagstiftaren underlåtit att bedöma och motivera behovet av att lämna ut uppgifter om aktieägare till allmänheten och behandla dem som allmänt tillgängliga uppgifter. Det finns inga restriktioner för hur uppgifterna får användas efter det att de har gjorts tillgängliga för allmänheten. Det finns således en stor risk för att uppgifterna kan användas i ohederliga syften, såsom bedrägeri eller utpressning. Enligt sökandena måste den omtvistade bestämmelsens förenlighet med konstitutionen bedömas mot bakgrund av domen Luxembourg Business Registers, som rörde den omständigheten att uppgifter om verkligt huvudmannaskap i bolag gjordes tillgängliga för allmänheten. Med tanke på att EU-domstolen i det målet ansåg att liknande uppgifter om verkligt huvudmannaskap inte borde offentliggöras, är det än mer omotiverat och oproportionerligt att aktieägares personuppgifter görs tillgängliga för allmänheten. Sökandena är, i egenskap av minoritetsaktieägare, vare sig de verkliga huvudmännen i aktiebolaget eller de som ansvarar för dess ledning eller styrelse. De har vare sig rätt eller möjlighet att utöva kontroll över det bolaget.

12. Sejmen (det lettiska parlamentet) har gjort gällande att den omtvistade bestämmelsen är förenlig med artikel 96 i den lettiska konstitutionen. Enligt parlamentet är begränsningen av de grundläggande rättigheterna legitim för att säkerställa ett öppet företagsklimat och skydda tredje mans intressen, för att bekämpa penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen och för att göra det möjligt för var och en att uppfylla sina skyldigheter enligt starptautisko un Latvijas Republikas nacionālo sankciju likums (Republiken Lettlands lag om internationella och nationella sanktioner). För att uppnå dessa mål är det nödvändigt att uppgifterna i fråga görs tillgängliga för alla, utan dröjsmål och utan att det behöver styrkas ett berättigat intresse av att begära ut de uppgifterna. Resonemanget i domen Luxembourg Business Registers, som rörde enbart ett legitimt mål – förhindrande av penningtvätt och finansiering av terrorism – kan inte överföras till förevarande mål, eftersom den lettiska lagstiftningen i fråga eftersträvar flera olika legitima mål som motiverar begränsningen av de grundläggande rättigheterna.

13. Datu valsts inspekcija (Dataskyddsmyndigheten, Lettland), som har intervenerat i målet vid den hänskjutande domstolen i egenskap av sakkunnig, anser att det i lagen om handelsregistret, i strid med den princip om öppenhet som stadfästs i dataskyddsförordningen, inte anges något specifikt ändamål för vilket det är nödvändigt att behandla personuppgifterna avseende aktieägare i ett aktiebolag. Mängden uppgifter som ska behandlas och frågan huruvida syftet med behandlingen av uppgifterna inte kan uppnås genom en mindre omfattande behandling måste bedömas mot bakgrund av principen om uppgiftsminimering. Utan ett specifikt identifierat ändamål är det inte möjligt att bedöma proportionaliteten i omfattningen av behandlingen av personuppgifter. Principerna om ändamålsbegränsning och uppgiftsminimering iakttas således inte.

14. Finansunderrättelsemyndigheten, som också har intervenerat i det nationella målet i egenskap av sakkunnig, anser att tredje man måste ha tillgång till de aktuella uppgifterna för att fastställa huruvida en affärspartner är föremål för internationella eller nationella sanktioner.

15. Den hänskjutande domstolen vill få klarhet i huruvida aktieägare i aktiebolag är personer som deltar i ledning, tillsyn eller kontroll av bolaget i den mening som avses i artikel 14 d ii) i direktiv 2017/1132 och om direktivet följaktligen kräver att uppgifter om aktieägare i sådana bolag offentliggörs. För det fall EU-domstolen anser att sådana aktieägare omfattas av tillämpningsområdet för artikel 14 d ii) i direktiv 2017/1132 och att uppgifter om dem måste offentliggöras och göras tillgängliga för allmänheten enligt artikel 16.3 i det direktivet, vill den hänskjutande domstolen bland annat få det klarlagt huruvida den förstnämnda bestämmelsen är giltig mot bakgrund av artiklarna 7 och 8 i stadgan.

16. Den hänskjutande domstolen vill även få klarhet i huruvida behandlingen av personuppgifter avseende aktieägare i aktiebolag är förenlig med de principer som anges i artikel 5.1 i dataskyddsförordningen, i synnerhet principen om ”uppgiftsminimering”, som återspeglar proportionalitetsprincipen. Den principen utgör inte hinder för att personuppgifter görs tillgängliga för allmänheten när detta är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, enligt artikel 6.1 första stycket c i dataskyddsförordningen. Enligt artikel 52.1 i stadgan ska emellertid begränsningar av den grundläggande rätten till respekt för privatlivet och till skydd för personuppgifter vara föreskrivna i lag, vara förenliga med det väsentliga innehållet i de grundläggande rättigheterna och iaktta proportionalitetsprincipen.

17. Den hänskjutande domstolen vill i synnerhet få klarhet i huruvida artikel 5.1 b i dataskyddsförordningen ska tolkas så, att behandling av personuppgifter avseende aktieägare i ett aktiebolag får ske i syfte att skydda tredje mans intressen, bland annat mot bakgrund av domen Luxembourg Business Registers och domen i målet Manni.( 13 ) Den vill även få klarhet i huruvida principerna i artikel 5.1 i dataskyddsförordningen medger att en medlemsstat, i det syftet, antar lagstiftning enligt vilken vem som helst kan få tillgång till personuppgifter om aktieägare i ett aktiebolag utan att behöva styrka ett berättigat intresse av att få tillgång till sådana uppgifter. Den hänskjutande domstolen vill dessutom få det klarlagt huruvida artikel 5.1 b i dataskyddsförordningen ska tolkas så, att behandling av personuppgifter om aktieägare i ett aktiebolag får ske i syfte att förhindra penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen. Enligt den lettiska lagstiftaren är syftet med att offentliggöra ifrågavarande uppgifter för allmänheten att göra det möjligt för var och en att i möjligaste mån bidra till sådant förhindrande.

18. Slutligen vill den hänskjutande domstolen få klarhet i huruvida artikel 5.1 b i dataskyddsförordningen ska tolkas så, att behandling av personuppgifter om aktieägare i ett aktiebolag får ske i syfte att tillhandahålla information som är nödvändig för att verkställa nationella och internationella sanktioner samt EU-sanktioner.

19. Den hänskjutande domstolen anser att offentliggörandet av personuppgifter om aktieägare i ett aktiebolag kan vara lämpligt, nödvändigt och ändamålsenligt för att uppnå dessa legitima mål. Om personuppgifter görs tillgängliga för allmänheten på internet är det emellertid inte möjligt att säkerställa att dessa uppgifter behandlas på ett korrekt sätt och att de inte kommer att behandlas vidare på ett sätt som är oförenligt med de ovannämnda ändamålen, i enlighet med artikel 5.1 a och b i dataskyddsförordningen. Den hänskjutande domstolen hyser således tvivel om, för det första, huruvida offentliggörandet i fråga innebär en väl avvägd balans mellan, å ena sidan, de mål av allmänintresse som eftersträvas och, å andra sidan, de grundläggande rättigheter som står på spel och, för det andra, huruvida det finns tillräckliga skyddsåtgärder mot risken för missbruk av personuppgifterna.

20. Enligt lettisk rätt måste åtkomst till information som omfattas av restriktioner begäras skriftligen, och den person som gör begäran måste motivera den och ange för vilket ändamål informationen ska användas. När information som omfattas av restriktioner överförs åtar sig mottagaren av den informationen att endast använda den för de ändamål för vilka den begärdes.( 14 ) Överföringen av informationen kan ta flera dagar. Om begäran om information uppfyller lagens krav och informationen endast begärs i elektronisk form och inte kräver ytterligare behandling, ska informationen tillhandahållas inom tio dagar. Den hänskjutande domstolen vill därför få klarhet i huruvida förfarandet för att begära ut information som omfattas av restriktioner kan betraktas som en annan metod genom vilken de ovannämnda målen rimligen kan uppnås på ett lika effektivt sätt.

21. Latvijas Republikas Satversmes tiesa (Författningsdomstolen) har således beslutat att vilandeförklara målet och ställa följande frågor till EU-domstolen för förhandsavgörande:

”1) Ska begreppet personer som ’deltar i ledning, tillsyn eller kontroll av bolaget’ i artikel 14 d i direktiv 2017/1132 tolkas på så sätt att det omfattar varje aktieägare i ett publikt aktiebolag, så att en medlemsstat är skyldig att offentliggöra uppgifter om varje aktieägare i ett publikt aktiebolag och göra dem tillgängliga för allmänheten i registret i enlighet med artikel 16.3 i direktiv 2017/1132?

2) Om den första frågan besvaras jakande, är artikel 14 d ii i direktiv 2017/1132, jämförd med rätten till respekt för privatlivet och familjelivet enligt artikel 7 i stadgan och rätten till skydd av personuppgifter enligt artikel 8 i stadgan, giltig i den mån det i bestämmelsen föreskrivs att uppgifter om varje aktieägare i ett publikt aktiebolag ska offentliggöras?

3) Ska artikel 5.1 b i [dataskyddsförordningen] tolkas på så sätt att behandling av personuppgifter som rör aktieägare i ett publikt aktiebolag får ske i syfte, för det första, att säkerställa ett öppet företagsklimat och skydda tredje mans intressen, för det andra, att förhindra penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen och, för det tredje, att tillhandahålla information som är nödvändig för att verkställa nationella och internationella sanktioner samt EU-sanktioner?

4) Medger principerna i artikel 5.1 i dataskyddsförordningen att det för de ovannämnda ändamålen införs nationella bestämmelser enligt vilka vem som helst kan få tillgång till personuppgifter om aktieägare i ett publikt aktiebolag utan att behöva visa att det finns ett berättigat intresse av att få tillgång till dessa uppgifter?”

IV. Förfarandet vid domstolen

22. Skriftliga yttranden har inkommit från sökandena A m.fl., den lettiska, den finska, den norska, den polska och den svenska regeringen, Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen.

23. Yttrandena från den svenska regeringen,( 15 ) parlamentet och rådet avser endast den hänskjutande domstolens första och andra fråga.

V. Bedömning

A. Den första och den andra frågan

24. Genom sin första fråga vill Latvijas Republikas Satversmes tiesa (Författningsdomstolen) få klarhet i huruvida artikel 14 d ii) i direktiv 2017/1132, i vilken det hänvisas till personer som ”deltar i ledning, tillsyn eller kontroll av bolaget”, ska tolkas så, att den avser alla aktieägare i ett aktiebolag( 16 ) och därigenom kräver att medlemsstaterna ska offentliggöra uppgifter om varje aktieägare i ett sådant bolag och göra dem tillgängliga för allmänheten i registret i enlighet med artikel 16.3 i direktiv 2017/1132.

25. Enligt artikel 14 d i direktiv 2017/1132 ska medlemsstaterna se till att de uppgifter som offentliggörs om ett bolag alltid inbegriper tillsättande och entledigande av samt personuppgifter om dem som, i egenskap av i lagstiftningen föreskrivet bolagsorgan eller som medlemmar i ett sådant organ, är behöriga att företräda bolaget mot tredje man och i rättegång eller deltar i ledning, tillsyn eller kontroll av det bolaget. Alla de parter och berörda parter som har inkommit med yttranden anser att artikel 14 d ii) i direktiv 2017/1132 inte kan tolkas så, att den avser alla aktieägare i ett aktiebolag.

26. Det måste betonas att det nationella målet vid den hänskjutande domstolen rör en talan som har väckts av 17 minoritetsaktieägare. Jag kommer därför att begränsa min bedömning till den situationen. Det följer av fast rättspraxis att det, vid tolkningen av en unionsbestämmelse, inte bara är lydelsen som ska beaktas, utan också sammanhanget och de mål som eftersträvas med de föreskrifter som bestämmelsen ingår i.( 17 )

27. I artikel 14 d i direktiv 2017/1132 hänvisas det inte till aktieägare eller till bolagsstämma.( 18 ) Begreppet ”deltar i ledning, tillsyn eller kontroll av bolaget” i artikel 14 d ii) i direktiv 2017/1132 definieras dessutom inte i det direktivet,( 19 ) och EU-domstolen har inte gjort någon tolkning av den bestämmelsen. Trots avsaknaden av en definition av det begreppet är det tydligt, bland annat i artiklarna 60 och 64 i direktiv 2017/1132, att det vid tillämpningen av det direktivet görs åtskillnad mellan ett bolags styrelse eller direktion och bolagsstämman. Enligt min mening gäller denna åtskillnad i än mindre grad för enskilda aktieägare.

28. Termerna ”tillsättande” och ”entledigande” i artikel 14 d i direktiv 2017/1132 är dessutom oförenliga med själva ställningen för aktieägare i ett aktiebolag. Samtidigt som vissa aktieägare kan tillsättas i de organ och utöva de funktioner som avses i artikel 14 d i direktiv 2017/1132, är det obligatoriska offentliggörandet av bland annat en aktieägares identitet och personuppgifter i det sammanhanget oupplösligt kopplat till dennes tillsättning i ett organ eller entledigande samt befogenheten att utöva vissa funktioner, snarare än dennes ställning som aktieägare.( 20 ) Det ska däremot påpekas att aktieägare åtnjuter eller drar fördel av denna ställning och de motsvarande rättigheterna och skyldigheterna, inbegripet rätten att närvara och rösta vid bolagsstämman, enbart på grund av att de äger aktier i bolaget snarare än att de har ”tillsatts” i ett ”organ” i det bolaget. Termerna ”tillsättning” och ”entledigande”, som förutsätter att det finns ett visst uppdrag eller en viss ansvarsfunktion( 21 ) inom ett bolag, är därför oförenliga med ställningen för aktieägaren som sådan och de rättigheter och skyldigheter som är knutna till den ställningen inom ramen för artikel 14 d i direktiv 2017/1132.

29. Det följer således av ordalydelsen i artikel 14 d ii) och av det sammanhang i vilket den ingår i direktiv 2017/1132 att den artikeln inte gäller aktieägare som sådana.

30. När det gäller målen med direktiv 2017/1132 föreskrivs i artikel 1 andra strecksatsen att det, genom det direktivet, fastställs åtgärder för ”samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 54 andra stycket [FEUF]avsedda bolagen i bolagsmännens och tredje mans intressen när det gäller offentlighet, giltigheten av förpliktelser för aktiebolag och andra bolag med begränsat ansvar, och om bolagens ogiltighet, i syfte att göra skyddsåtgärderna likvärdiga inom unionen”.( 22 ) Artikel 14 i direktiv 2017/1132 innehåller en uppräkning av de handlingar och uppgifter som ett bolag, som ett minimum,( 23 ) alltid ska offentliggöra. Dessa handlingar och uppgifter ska, i enlighet med artikel 16.3–16.5 i det direktivet, förvaras i akten eller föras in i registret, gå att få tillgång till i form av en fullständig eller partiell kopia som kan erhållas på begäran samt offentliggöras i den nationella tidningen – antingen genom att de helt eller delvis återges eller genom hänvisning – eller med hjälp av en lika effektiv metod.( 24 )

31. Med tanke på att syftet med direktiv 2017/1132 och i synnerhet artikel 14 d däri är att skydda intressena hos aktieägare i ett bolag och tredje man genom att kräva offentliggörande av uppgifter om vissa specificerade personer vars funktioner eller befogenheter kan utövas till skada för de intressena,( 25 ) kan jag inte se hur det syftet främjas genom en ökad insyn när det gäller identiteten för varje aktieägare, i synnerhet minoritetsaktieägare, som inte har någon särskild funktion eller befogenhet inom ett bolag.( 26 )

32. I domen Manni( 27 ) betonade EU-domstolen i detta avseende att de uppgifter som ska lämnas ut enligt bland annat artikel 2.1 d i direktiv 68/151 – som motsvarar artikel 14 d i direktiv 2017/1132 – är begränsade.( 28 ) Det är tydligt att artikel 14 d i direktiv 2017/1132 inte är av begränsande art om den tolkas så, att uppgifter om precis alla aktieägare ska offentliggöras.( 29 ) Det framgår av skälen 3, 7 och 8 i direktiv 2017/1132 att det direktivet enbart säkerställer en minimiharmonisering eller minsta samordning av ”vissa aspekter”( 30 ) av bolagsrätt för att skydda aktieägare, borgenärer och tredje man. Medlemsstaterna får således införa eller behålla strängare eller ytterligare regler på bolagsrättens område inom gränserna för unionsrätten,( 31 ) i synnerhet dataskyddsförordningen( 32 ) och proportionalitetsprincipen.

33. Jag anser följaktligen att begreppet personer som ”deltar i ledning, tillsyn eller kontroll av bolaget” i artikel 14 d i direktiv 2017/1132, inte kan tolkas så, att det avser alla aktieägare i ett aktiebolag. En medlemsstat är inte skyldig att offentliggöra uppgifter om varje aktieägare i ett aktiebolag och göra dem allmänt tillgängliga i registret i enlighet med artikel 16.3 i direktiv 2017/1132.

34. Med tanke på att den hänskjutande domstolens andra fråga har ställts för det fall den första frågan besvaras jakande, anser jag att den andra frågan om giltigheten av artikel 14 d ii) i direktiv 2017/1132, jämförd med artiklarna 7 och 8 i stadgan, är inaktuell.

B. Den tredje och den fjärde frågan

35. Genom den tredje och den fjärde frågan( 33 ) vill den hänskjutande domstolen få klarhet i huruvida artikel 5.1 i dataskyddsförordningen ska tolkas så, att behandling av vissa personuppgifter som rör aktieägare i ett aktiebolag, genom att vem som helst får tillgång till dessa utan att behöva styrka ett berättigat intresse av att få tillgång till dem, får ske i syfte att i) säkerställa ett öppet företagsklimat och skydda tredje mans intressen, ii) förhindra penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen och iii) tillhandahålla information som är nödvändig för att verkställa nationella och internationella sanktioner samt EU-sanktioner. Latvijas Republikas Satversmes tiesa (Författningsdomstolen) vill därvidlag få det klarlagt huruvida principerna om ”ändamålsbegränsning” och ”uppgiftsminimering” i artikel 5.1 b och c i dataskyddsförordningen( 34 ) iakttas.( 35 )

36. Det framgår av handlingarna i målet vid EU-domstolen att kravet enligt lettisk rätt att för allmänheten offentliggöra vissa specificerade uppgifter om aktieägare i aktiebolag som har bildats enligt lettisk rätt omfattas av dataskyddsförordningens materiella tillämpningsområde. I artikel 2.1 i dataskyddsförordningen föreskrivs att den förordningen ska tillämpas på sådan ”behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”, utan att någon åtskillnad görs beroende på vem som utför behandlingen. Härav följer att dataskyddsförordningen, med undantag för de fall som nämns i artikel 2.2 och 2.3 i den, är tillämplig på behandling av personuppgifter som utförs både av privatpersoner och av offentliga myndigheter.( 36 )

37. Eftersom behandling av personuppgifter som medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 FEU om den gemensamma utrikes- och säkerhetspolitiken inte omfattas av dataskyddsförordningens materiella tillämpningsområde, anser jag att den förordningen ska tillämpas på behandling av personuppgifter som sker i samband med verksamhet som omfattas av tillämpningsområdet för artikel 215 FEUF.( 37 ) Det ska dock betonas att vissa av de registrerades rättigheter enligt dataskyddsförordningen kan begränsas i enlighet med artikel 23 i den förordningen. Till exempel föreskrivs i artikel 23.1 a i dataskyddsförordningen att begränsningar får införas under vissa omständigheter för att säkerställa den nationella säkerheten.

38. Det är klarlagt i förevarande mål att den rättsliga skyldigheten enligt lettisk rätt( 38 ) att för allmänheten offentliggöra uppgifter om aktieägare i aktiebolag som har bildats enligt nationell rätt – vilka är fysiska personer – däribland deras förnamn, efternamn, personnummer, kontaktadress eller e‑postadress samt aktienummer, aktiernas nominella värde och röstvärde, utgör behandling av personuppgifter i den mening som avses i artikel 4.1 och 4.2 i dataskyddsförordningen.( 39 )

39. Eftersom ifrågavarande nationella bestämmelser rör behandling av personuppgifter som omfattas av dataskyddsförordningens tillämpningsområde, är Republiken Lettland bland annat skyldig att genomföra dataskyddsförordningen. Den omständigheten att var och en ur den breda allmänheten ges tillgång till dessa uppgifter påverkar följaktligen de berörda personernas grundläggande rätt till respekt för sitt privatliv, vilken garanteras i artikel 7 i stadgan. Att göra de uppgifterna tillgängliga för allmänheten utgör dessutom behandling av personuppgifter som omfattas av artikel 8 i stadgan. Att dessa personuppgifter görs tillgängliga för tredje man utgör dessutom ett ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan, oberoende av hur de tillhandahållna uppgifterna därefter används. EU-domstolen har emellertid slagit fast att en behandling av personuppgifter som uppfyller villkoren för laglig behandling av personuppgifter enligt dataskyddsförordningen anses, i princip, även uppfylla kraven i artiklarna 7 och 8 i stadgan.( 40 )

40. Det framgår av artikel 1.2 i dataskyddsförordningen, jämförd med skälen 4 och 10 i densamma, att syftet med den förordningen bland annat är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter med avseende på behandling av personuppgifter.( 41 )

41. Dataskyddsförordningen säkerställer en konsekvent och enhetlig tillämpning av bestämmelserna om skydd av fysiska personers grundläggande rättigheter och friheter vid behandling av personuppgifter i hela unionen. All behandling av personuppgifter ska, med förbehåll för de undantag som medges i artikel 23 i dataskyddsförordningen,( 42 ) vara förenlig med de principer som reglerar behandlingen av personuppgifter och de rättigheter som den berörda personen har enligt kapitlen II och III i den förordningen. All behandling av personuppgifter ska i synnerhet dels stå i överensstämmelse med de principer som anges i artikel 5 i dataskyddsförordningen, dels uppfylla de laglighetsvillkor som anges i artikel 6 i dataskyddsförordningen.( 43 ) Dessutom måste den registrerades rättigheter i artiklarna 12–22 i dataskyddsförordningen iakttas.( 44 )

42. Enligt artikel 5.1 i dataskyddsförordningen ska personuppgifter behandlas i enlighet med en rad specificerade principer. Personuppgifter ska således, bland annat, behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade,( 45 ) samlas in för särskilda, uttryckligt angivna och berättigade ändamål,( 46 ) vara adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamålen,( 47 ) vara korrekta och om nödvändigt uppdaterade,( 48 ) inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas( 49 ) och behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna.( 50 ) Dessa principer om behandling av personuppgifter är kumulativa.( 51 )

43. Artikel 6.1 första stycket i dataskyddsförordningen innehåller en uttömmande och fullständig uppräkning av de fall där behandling av personer kan anses vara laglig.( 52 ) För att en behandling ska vara laglig måste den således omfattas av något av de fall som föreskrivs i artikel 6.1 första stycket i dataskyddsförordningen.( 53 ) Latvijas Republikas satversmes tiesa (Författningsdomstolen) har visserligen inte uttryckligen angett att den aktuella behandlingen av personuppgifter i förevarande mål grundar sig på artikel 6.1 första stycket c i dataskyddsförordningen. Detta är dock det enda fall i artikel 6.1 första stycket i dataskyddsförordningen som den domstolen har hänvisat till i sin begäran om förhandsavgörande.( 54 ) Med tanke på att den aktuella behandlingen uttryckligen grundar sig på och krävs enligt nationell rätt,( 55 ) snarare än att vara ”nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning,( 56 ) anser jag att den behandlingen grundar sig på artikel 6.1 första stycket c i dataskyddsförordningen, eftersom den är nödvändig för att fullgöra en rättslig förpliktelse som fastställs i en medlemsstats nationella rätt – i förevarande fall lettisk rätt – och som åvilar den personuppgiftsansvarige.( 57 ) Den myndighet som ansvarar för handelsregistret i en medlemsstat och som i det registret offentliggör personuppgifter som omfattas av det obligatoriska offentliggörande som föreskrivs i direktiv 2017/1132 är ”personuppgiftsansvarig” för de uppgifterna, bland annat genom att göra dem tillgängliga för allmänheten.( 58 )

44. I artikel 6.3 i dataskyddsförordningen specificeras bland annat, med avseende på de fall i vilka behandling är laglig enligt artikel 6.1 första stycket c,( 59 ) att syftet med behandlingen ska ”fastställas i den rättsliga grunden”( 60 ) och att den rättsliga grunden ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.( 61 )

45. Det framgår inte av handlingarna i målet vid EU-domstolen huruvida kravet på att syftet eller syftena med behandlingen ska ”fastställas i den rättsliga grunden” har varit uppfyllt i förevarande fall. Dataskyddsmyndigheten anförde i sitt yttrande vid den hänskjutande domstolen att det i lagen om handelsregistret inte anges för vilket eller vilka syften behandlingen av personuppgifter avseende aktieägare i ett aktiebolag är nödvändig. Det ankommer således på den hänskjutande domstolen att kontrollera huruvida det kravet i artikel 6.3 i dataskyddsförordningen har uppfyllts med avseende på de tre aktuella syftena. Underlåtenhet att uppfylla det kravet innebär att behandlingen av personuppgifter strider mot artikel 6.3 i dataskyddsförordningen.( 62 ) Med tanke på de olika redaktionella lagstiftningsteknikerna i de 27 medlemsstaterna, anser jag att det är lämpligt att ändamålet eller ändamålen i fråga fastställs ”på ett tillräckligt säkert sätt” utifrån lagstiftningens ordalydelse eller det lagstiftningsmässiga sammanhanget.( 63 )

46. Kraven i artikel 6.3 i dataskyddsförordningen på att behandlingen ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas utgör ett uttryck för de krav som följer av artikel 52.1 i stadgan och måste tolkas mot bakgrund av den sistnämnda bestämmelsen. EU-domstolen har i det hänseendet slagit fast att de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter, vilka garanteras i artiklarna 7 och 8 i stadgan, inte framstår som absoluta rättigheter, utan ska beaktas i förhållande till deras funktions i samhället och vägas mot andra grundläggande rättigheter. Begränsningar får således göras, förutsatt att de, i enlighet med vad som anges i artikel 52.1 i stadgan, är föreskrivna i lag och förenliga med det väsentliga innehållet i de grundläggande rättigheterna och proportionalitetsprincipen. Det följer av fast rättspraxis att för att åtgärder som innebär ett ingrepp i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan ska vara proportionerliga krävs det att kraven på lämplighet och nödvändighet iakttas( 64 ) samt att åtgärderna i egentlig mening är proportionerliga i förhållande till det eftersträvade målet.( 65 ) Det måste således bedömas huruvida det i ifrågavarande nationella lagstiftning görs en avvägning mellan det eller de intressen som medlemsstaterna eftersträvar och intresset eller intressena hos de som påverkas på ett negativt sätt.( 66 ) Följaktligen måste EU-domstolen bedöma hur allvarligt det ingrepp i de grundläggande rättigheterna avseende respekt för privatlivet och skydd för personuppgifter som behandlingen innebär är och kontrollera huruvida betydelsen av det mål av allmänt samhällsintresse som eftersträvas är proportionell mot ingreppet.( 67 )

47. Vid bedömningen av hur allvarligt det ingreppet är ska hänsyn bland annat tas till vilken typ av personuppgifter det är fråga om, i synnerhet till att det kan vara fråga om känsliga uppgifter. Vidare ska hänsyn tas till vilken typ av personuppgiftsbehandling det är fråga om och hur denna konkret går till, varvid det särskilt ska beaktas hur många personer som har tillgång till personuppgifterna och formerna för åtkomst till dessa.( 68 )

48. Det framgår att de uppgifter som görs tillgängliga för allmänheten om en aktieägare som är en fysisk person innefattar dennes förnamn, efternamn, personnummer, kontaktadress, e‑postadress( 69 ) samt aktieslag, aktienummer, det nominella värdet av de aktier som aktieägaren innehar samt deras röstvärde.( 70 ) De uppgifterna kan möjliggöra en sammanställning av, för det första, vissa personuppgifter och, för det andra, åtminstone i viss mån, personens förmögenhet i Lettland samt de ekonomiska sektorer och specifika företag i vilka han eller hon har investerat i Lettland. De aktuella uppgifterna finns lättillgängliga för ett potentiellt obegränsat antal personer, i synnerhet på grund av att de finns tillgängliga på handelsregistrets webbplats. Fri åtkomst ges till dem av skäl som inte har något samband med de mål som eftersträvas med den nationella lagstiftningen( 71 ) i fråga, och de kan lagras, spridas och bli föremål för ytterligare behandling. Den omständigheten att allmänheten enkelt kan få tillgång till uppgifterna i fråga innebär en risk för att de registrerades personuppgifter eventuellt missbrukas och gör det svårt eller till och med omöjligt för de registrerade att på ett effektivt sätt försvara sig mot ett sådant missbruk. Åtkomsten i fråga utgör således ett allvarligt ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan.( 72 )

1. Förekomsten av ett mål av allmänintresse som erkänns av unionen

49. De tre ändamål med ifrågavarande nationella lagstiftning som den hänskjutande domstolen har angett( 73 ) är, i princip, av europeiskt allmänintresse och därmed legitima.( 74 ) De kan motivera ingrepp, även allvarliga sådana, i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan, under förutsättning att de iakttar proportionalitetsprincipen.( 75 )

50. När det gäller ändamålet att säkerställa ett öppet företagsklimat och skydda tredje mans intressen, anser jag att enbart säkerställande av ett öppet företagsklimat är en tämligen vag och amorf ambition och därför inte kan vara ett berättigat ändamål i sig. För att undvika missförstånd anser jag således att det relevanta syftet med den lettiska lagstiftningen, med förbehåll för den hänskjutande domstolens prövning, är att säkerställa ett öppet företagsklimat för att skydda tredje mans intressen. Mot bakgrund av artikel 50.2 g FEUF,( 76 ) där det, i huvudsak, hänvisas till skydd för aktieägare och tredje man,( 77 ) anser jag att det aktuella syftet är ett mål av allmänintresse som erkänns av Europeiska unionen.

51. I domen Luxembourg Business Registers,( 78 ) slog EU-domstolen fast att förhindrande av penningtvätt och finansiering av terrorism genom att ge allmänheten tillgång till information om verkliga huvudmän utgör ett mål av allmänt intresse som kan motivera ingrepp, även allvarliga sådana, i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan.( 79 ) Jag anser att den logiska grunden för den domen även kan tillämpas i förevarande mål.

52. När det gäller offentliggörande av information som är nödvändig för att verkställa sanktioner, har EU-domstolen slagit fast att restriktiva åtgärder får införas på utövandet av friheten att bedriva yrkesverksamhet och på utövandet av rätten till egendom. Dessa åtgärder måste tillgodose de allmänintressen som eftersträvas – till exempel målen för unionens yttre åtgärder enligt artikel 21 FEU – och får inte, mot bakgrund av det eftersträvade målet, utgöra ett oproportionerligt och icke godtagbart ingrepp som påverkar kärnan i de på detta sätt garanterade rättigheterna.( 80 ) Jag anser i förlängningen att genomförandet av sådana restriktiva åtgärder, inbegripet antagandet av åtgärder som ger tillgång till information som är nödvändig för att säkerställa det genomförandet, utgör ett mål av allmänintresse som erkänns av Europeiska unionen.

2. Huruvida det omtvistade ingreppet är lämpligt, nödvändigt och proportionerligt i egentlig mening

a) Ändamålet att säkerställa ett öppet företagsklimat för att skydda tredje mans intressen

53. Jag anser inte, av de skäl som jag har angett i punkt 31 ovan, att skyldigheten i ifrågavarande lettiska lagstiftning som avser varje aktieägare i ett aktiebolag, oavsett om de har någon särskild funktion eller befogenhet inom företaget, främjar eller gynnar ändamålet att säkerställa ett öppet företagsklimat för att skydda tredje mans intressen. Samtidigt som direktiv 2017/1132 inte är ämnat att vara uttömmande utan enbart harmoniserar och samordnar vissa aspekter av bolagsrätt, finns det dessutom inget i handlingarna i målet vid EU-domstolen som tyder på att det direktivet( 81 ) var otillräckligt för att säkerställa ett öppet företagsklimat för att skydda tredje mans intressen och att det därmed var nödvändigt att anta den nationella lagstiftningen.( 82 ) Jag anser således att ingreppet är både olämpligt och onödigt. Jag anser även att den lagstiftningen är oproportionerlig i egentlig mening, eftersom den inte gör en avvägning mellan de intressen som den lettiska lagstiftaren eftersträvar och aktieägarnas intressen.

b) Ändamålen att skapa en miljö för att främja förhindrande av penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen och tillgång till information som är nödvändig för att verkställa nationella och internationella sanktioner samt EU-sanktioner

54. Skyldigheten enligt lettisk rätt att för allmänheten offentliggöra vissa specificerade uppgifter om aktieägare i aktiebolag som har bildats enligt lettisk rätt och den motsvarande avsaknaden av ett krav på att styrka ett berättigat intresse av att få tillgång till sådana uppgifter är, enligt min mening, lämplig för att uppnå målen av allmänintresse att skapa en miljö som främjar och gynnar förhindrande av penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen och tillgång till information som är nödvändig för att verkställa nationella och internationella sanktioner samt EU-sanktioner. Jag anser, i analogi med domen Luxembourg Business Registers, att den offentliga karaktären av denna tillgång och den ökade öppenhet som följer av detta och som möjliggör en ökad allmän kontroll av aktiebolags ägarstruktur bidrar till att uppnå dessa mål av allmänintresse.( 83 )

55. Det måste därför fastställas huruvida dessa två ändamål rimligen skulle kunna uppnås på ett lika effektivt sätt med andra åtgärder som inverkar mindre menligt på rättigheterna för aktieägarna i de berörda aktiebolagen( 84 ) och huruvida det omtvistade ingreppet är oproportionerligt i egentlig mening i förhållande till de målen, vilket bland annat nödvändiggör en avvägning mellan målens betydelse och ingreppets allvar.

56. När det gäller ändamålet att skapa en miljö som främjar och gynnar förhindrande av penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen, anser den hänskjutande domstolen att även andra personer än ansvariga enheter, såsom de förtecknas i artikel 2 i direktiv 2015/849,( 85 )”kan ha ett berättigat intresse av att genomföra en kundundersökning på eget initiativ”. Enligt artikel 3. 1 i noziedzīgi iegūtu līdzekļu legalizācijas un terorisma un proliferācijas finansēšanas novēršanas likums (lagen om åtgärder för att förhindra penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen) är dessutom andra personer än bland annat ansvariga enheter skyldiga att rapportera misstänkta transaktioner.

57. När det gäller verkställighet av sanktioner har den hänskjutande domstolen anfört att rådet antar förordningar som ofta innehåller restriktiva åtgärder bestående av i) frysning av tillgångar och ekonomiska resurser för förtecknade personer och enheter, och ii) ett förbud mot att göra tillgångar och ekonomiska resurser tillgängliga för sådana personer och enheter.( 86 ) Dessutom kan det vara nödvändigt med åtkomst till information om alla aktieägare i ett aktiebolag, eftersom var och en är skyldig att iaktta och genomföra internationella och nationella sanktioner, enligt artikel 2.2 i Republiken Lettlands lag om internationella och nationella sanktioner.( 87 )

58. Det bör påpekas att EU-domstolen, i domen Luxembourg Business Registers,( 88 ) erinrade om att bekämpning av penningtvätt och finansiering av terrorism i första hand är en fråga för myndigheterna och för enheter, såsom kredit- och finansinstitut, som på grund av sin verksamhet har särskilda skyldigheter i detta avseende. Artikel 30.5 i direktiv 2015/849 säkerställer, under alla omständigheter, att inte bara behöriga myndigheter, finansunderrättelseenheter i EU( 89 ) och ansvariga enheter, utan även att varje person eller organisation som kan styrka ett berättigat intresse, har tillgång till uppgifter om verkligt huvudmannaskap ( 90 ) i bland annat företagsenheter .( 91 )

59. Såsom jag påpekade i mitt förslag till avgörande i målet Čiekuri-Shishki ,( 92 ) genomförs en förordning i vilken restriktiva åtgärder föreskrivs huvudsakligen av statliga organ som har särskild specialkompetens inom området för finansiell tillsyn. Dessa organ innehar nödvändiga medel och är således behöriga att genomföra de finansiella sanktioner som föreskrivs, såsom frysning av tillgångar, förbud mot att bevilja krediter eller utföra betalningar till vissa personer eller organ. Det ankommer på dem att besluta om konkreta åtgärder mot de personer och organ som förts upp på de förteckningar som avses i förordningen.

60. Det har emellertid erinrats om i EU:s bästa praxis( 93 ) att ” [a]lla personer och enheter som omfattas av unionens behörighet är skyldiga att meddela de behöriga myndigheterna alla uppgifter som de förfogar över och som skulle underlätta tillämpningen av de finansiella restriktiva åtgärderna”.( 94 ) Dessutom finns det förordningar om restriktiva åtgärder som förbjuder att penningmedel eller ekonomiska resurser görs direkt eller indirekt tillgängliga för förtecknade personer eller enheter.( 95 ) Jag anser att den skyldigheten kan fullgöras på andra sätt än genom en obegränsad tillgång till personuppgifter om alla aktieägare, till exempel genom att begära åtkomst till information om aktieägare från fall till fall.( 96 ) I synnerhet har en person som har en skälig misstanke om att han eller hon direkt eller indirekt kan göra penningmedel eller ekonomiska resurser tillgängliga för förtecknade personer eller enheter ett berättigat intresse av att begära ut uppgifter som finns med i handelsregistret i det hänseendet. Det ska även betonas att det, i avsaknad av ett berättigat intresse, skulle vara alltför betungande och oproportionerligt att begära att alla personer kontinuerligt ska kontrollera identiteten på alla deras affärspartners samtliga aktieägare.( 97 ) Detta är än mer tydligt eftersom förändringar ofta kan ske i fråga om vilka aktieägarna är i ett aktiebolag.

61. Härav följer att samtidigt som den omständigheten att allmänheten har obegränsad tillgång till uppgifter om aktieägare i aktiebolag enligt ifrågavarande lettiska lagstiftning i begränsad mån kan bidra till förhindrande av penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen och till verkställighet av nationella och internationella sanktioner samt EU-sanktioner, anser jag, i analogi med domen Luxembourg Business Registers,( 98 )att detta inte är absolut nödvändigt för de ändamålen. De potentiella fördelarna med en sådan behandling uppväger dessutom inte det allvarliga ingreppet i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan.( 99 )

62. Jag vill även betona att eftersom den verkliga huvudmannen i en företagsenhet, enligt artikel 3 led 6 i direktiv 2015/849, är den eller de fysiska personer som äger eller kontrollerar bland annat ett aktieinnehav på 25 procent + 1 aktie, så är EU-domstolens resonemang i domen Luxembourg Business Registers med desto större skäl tillämpligt på den lettiska lagstiftning som är i fråga i förevarande mål och som kräver att uppgifter om varje aktieägare i ett aktiebolag ska offentliggöras oavsett om denne har ett kontrollerande intresse eller inte.

63. Den hänskjutande domstolen vill även få klarhet i huruvida förfarandet för att begära ut information som omfattas av restriktioner enligt lagen om informationsfrihet kan betraktas som en annan metod genom vilken de aktuella målen rimligen kan uppnås på ett lika effektivt sätt. Det framgår( 100 ) att enligt artiklarna 11.4 och 14.1 led 1. 1 i lagen om informationsfrihet får personer ges tillgång till information om aktieägare,( 101 ) under förutsättning att de gör en skriftlig begäran, motiverar sin begäran och anger för vilket ändamål informationen ska användas. Mottagaren av den information som lämnats ut åtar sig att endast använda den för de ändamål för vilka den begärdes. Om begäran om information uppfyller lagens krav och informationen endast begärs i elektronisk form och inte kräver ytterligare behandling, ska informationen tillhandahållas inom tio dagar. Den hänskjutande domstolen har emellertid konstaterat att ”handelsregistret, i egenskap av personuppgiftsansvarig och avsändare av informationen, inte har möjlighet att kontrollera om den person som begär information verkligen har ett berättigat intresse av att få den begärda informationen . I en sådan situation bör kravet på att ange ett berättigat intresse betraktas som ett formellt hinder mot att få ut informationen”.( 102 )

64. Det är tillräckligt att påpeka att behandling av personuppgifter enligt lagen om informationsfrihet för att bekämpa penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen( 103 ) och verkställa sanktioner måste ske enligt unionsrätten, i synnerhet dataskyddsförordningen och proportionalitetsprincipen. Med tanke på att det i artikel 30.5 i direktiv 2015/849 föreskrivs att uppgifter om verkligt huvudmannaskap ska vara tillgängliga inte bara för bland annat behöriga myndigheter och ansvariga enheter, utan även för varje person eller organisation som kan styrka ett berättigat intresse, är den hänskjutande domstolens uttalande att handelsregistret inte kan kontrollera huruvida en person har ett sådant intresse( 104 ) något förvirrande mot bakgrund av den skyldighet som medlemsstaterna har enligt den bestämmelsen.( 105 )

65. Förfarandet för att få tillgång till information om aktieägare enligt artiklarna 11.4 och 14.1 led 1. 1 i lagen om informationsfrihet( 106 ) som har angetts i punkterna 20 och 63 ovan förefaller i alla händelser inte vara alltför betungande eller utdraget och syftar till att förena de olika intressen som står på spel i det konkreta fallet. Det förefaller därför som( 107 ) om ifrågavarande nationella förfarande är en metod genom vilken de aktuella målen kan uppnås på ett lika effektivt sätt.

66. Jag anser följaktligen( 108 ) att skyldigheten enligt lettisk rätt att för allmänheten offentliggöra vissa specificerade uppgifter om aktieägare i aktiebolag som har bildats enligt lettisk rätt och den motsvarande avsaknaden av ett krav på att styrka ett berättigat intresse av att få tillgång till sådana uppgifter, för att skapa en miljö som främjar och gynnar förhindrande av penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen och tillgång till information som är nödvändig för att verkställa nationella och internationella sanktioner samt EU-sanktioner, är oproportionerlig i egentlig mening.

VI. Förslag till avgörande

67. Mot bakgrund av det ovan anförda föreslår jag att EU-domstolen besvarar tolknings- och giltighetsfrågorna från Latvijas Republikas Satversmes tiesa (Författningsdomstolen, Lettland) på följande sätt:

1) Artiklarna 14 d och 16.3 i Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt

ska tolkas så,

att begreppet personer som ”deltar i ledning, tillsyn eller kontroll av bolaget” i artikel 14 d i direktiv 2017/1132, inte kan tolkas så, att det avser alla aktieägare i ett aktiebolag, varvid en medlemsstat inte är skyldig att offentliggöra uppgifter om varje aktieägare i ett aktiebolag och göra dem allmänt tillgängliga i registret i enlighet med artikel 16.3 i direktiv 2017/1132.

2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), särskilt artiklarna 5 och 6,

ska tolkas så,

att den utgör hinder för nationell lagstiftning som föreskriver behandling av vissa personuppgifter om aktieägare i ett aktiebolag, genom att vem som helst får tillgång till dessa utan att behöva styrka ett berättigat intresse av att få tillgång till dem, i syfte att säkerställa ett öppet företagsklimat för att skydda tredje mans intressen, förhindra penningtvätt och finansiering av terrorism och spridning av massförstörelsevapen och tillhandahålla den information som är nödvändig för att verkställa nationella och internationella sanktioner samt EU-sanktioner.

1 Originalspråk: engelska.

i Förevarande mål har getts ett fiktivt namn. Detta namn är inte någon av rättegångsdeltagarnas verkliga namn.

2 Vilken inkom till EU-domstolens kansli den 19 november 2024.

3 De 17 aktieägarna i fråga är fysiska personer.

4 Jag kommer även att hänvisa till dessa företag som aktiebolag, för enkelhetens skull.

5 Se den lettiska lagstiftningen i punkt 9 nedan.

6 EUT L 169, 2017, s. 46.

7 EUT L 119, 2016, s. 1.

8 Med detta avses finansiering av spridning av massförstörelsevapen.

9 För närmare uppgifter om det förfarandet, se punkt 20 nedan. Se även punkterna 63–65.

10 Dom av den 22 november 2022, Luxembourg Business Registers (C‑37/20 och C‑601/20, EU:C:2022:912) (nedan kallad domen Luxembourg Business Registers).

11 Av den 13 april 2000 ( Latvijas vēstnesis , 2000, nr 158/160).

12 Av den 20 november 1990 (Latvijas Republikas augstākās padomes un valdības ziņotājs, 1990, nr 49).

13 Dom av den 9 mars 2017 (C‑398/15, EU:C:2017:197) (nedan kallad domen Manni).

14 Se artikel 11.4 i lagen om informationsfrihet.

15 Den svenska regeringen yttrade sig formellt över den hänskjutande domstolens första fråga. Den ansåg emellertid att artikel 14 d ii) i direktiv 2017/1132 är giltig mot bakgrund av artiklarna 7 och 8 i stadgan och yttrade sig därvid över den hänskjutande domstolens andra fråga.

16 Det framgår tydligt av artikel 13 i direktiv 2017/1132 och bilaga II till det direktivet – i vilken det med avseende på Lettland hänvisas till ” akciju sabiedrība, sabiedrība ar ierobežotu atbildību, komanditsabiedrība ” – att artiklarna 14 d ii och 16.3 i direktivet bland annat är tillämpliga på aktiebolag som har bildats enligt lettisk rätt. Som exempel ska det noteras att det i bilaga II till det direktivet på engelska hänvisas till ” companies incorporated with limited liability ” med avseende på Irland.

17 Se, för ett liknande resonemang, dom av den 21 december 2023, DOBELES AUTOBUSU PARKS m.fl. (C‑421/22, EU:C:2023:1028, punkt 40).

18 Se, exempelvis, artikel 72 i direktiv 2017/1132, där det hänvisas till ”aktieägarna”, ”bolagsstämman” och ”styrelsen eller direktionen”. Det är tydligt att dessa är tre separata rättsliga begrepp vid tillämpningen av direktiv 2017/1132.

19 Se även artikel 3 e i direktiv 2017/1132, där det föreskrivs att ”[b]olagsordningen eller stiftelseurkunden för ett bolag [alltid åtminstone] ska … innehålla … uppgifter … om [b]estämmelser som anger antalet ledamöter och hur dessa ska utses i de organ som företräder bolaget gentemot tredje man och svarar för förvaltning, ledning, övervakning eller kontroll av bolaget samt bestämmelser om kompetensfördelningen mellan organen, allt i den mån föreskrifter inte finns i lag eller annan författning”.

20 Se, däremot, artikel 1 i Europaparlamentets och rådets direktiv (EU) 2025/25 av den 19 december 2024 om ändring av direktiven 2009/102/EG och (EU) 2017/1132 vad gäller att ytterligare utvidga och uppgradera användningen av digitala verktyg och förfaranden inom bolagsrätten (EUT L, 2025/25), som har ersatt artikel 3 i direktiv 2009/102 och där det föreskrivs att ”[n]är ett bolag blir enmansbolag genom att alla dess andelar förenas på en hand ska uppgift om det och om den ende bolagsmannens identitet förvaras i den akt eller föras in i det register som avses i artikel 16.1 och 16.2 i [direktiv 2017/1132] och göras allmänt tillgänglig genom det system för sammankoppling av register som avses i artikel 16.1 i det direktivet”. Härav följer att när unionslagstiftaren kräver att information om enskilda aktieägare i ett bolag offentliggörs i registret bland annat i överensstämmelse med artikel 16 i direktiv 2017/1132, föreskriver unionslagstiftaren det kravet på ett uttryckligt sätt.

21 Se artiklarna 106 och 152 i direktiv 2017/1132 om civilrättsligt ansvar för ledamöterna i ett bolags styrelse eller direktion i vissa situationer.

22 EU-domstolen har slagit fast att det framgår av skälen 7 och 8 i direktiv 2017/1132 att den offentlighet som föreskrivs i direktivet har till syfte att bland annat skydda tredje mans intressen i förhållande till aktiebolag och bolag med begränsat ansvar, eftersom deras ansvar gentemot tredje man är begränsat till bolagsförmögenheten. Offentligheten bör ge tredje man möjlighet att ta del av bolagets viktigaste handlingar och vissa upplysningar om bolaget, särskilt avseende identiteten hos de personer som är behöriga att företräda bolaget(dom av den 4 oktober 2024, Agentsia po vpisvaniyata,C‑200/23, EU:C:2024:827, punkt 77) (nedan kallad domen Agentsia po vpisvaniyata).

23 Detta framgår tydligt av användningen av ordet ”minst” i artikel 14 i direktiv 2017/1132. Se även hänvisningen till ”viktiga handlingar” i skäl 8 i det direktivet.

24 Se domen Agentsia po vpisvaniyata, punkt 53.

25 Se skälen 3, 7 och 8 i direktiv 2017/1132. Skäl 3 avser skydd för borgenärer, medan skälen 7 och 8 samt artikel 14 d i) i direktiv 2017/1132 avser tredje man. Jag anser att, även om dessa begrepp inte är synonyma, så utgör ett bolags borgenärer tredje man som troligen är i behov av skydd enligt direktiv 2017/1132. I själva ordalydelsen i artikel 50.2 g FEUF, som är en av de rättsliga grunderna för det direktivet, hänvisas det emellertid till behovet av att skydda tredje mans intressen i allmänhet utan att göra åtskillnad mellan eller utesluta vissa grupper av dem. Uttrycket tredje man i denna artikel kan således i synnerhet inte begränsas till att endast omfatta bolagets borgenärer. Se, analogt, domen Manni, punkt 51.

26 Begreppen ”är behöriga att företräda bolaget mot tredje man och i rättegång” och ”deltar i ledning, tillsyn eller kontroll av bolaget” i artikel 14 d i direktiv 2017/1132 kan bedömas ha samma ställning. Unionslagstiftarens avsikt har således varit att de ska behandlas på samma sätt. Enbart ställning som minoritetsaktieägare i ett aktiebolag kan inte i sig innebära att en aktieägare får företräda bolaget mot tredje part och i rättegång.

27 Domen Manni avsåg tolkningen av rådets första direktiv 68/151/EEG av den 9 mars 1968 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 58 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen (EGT L 65, 1968, s. 8; svensk specialutgåva, område 17, volym 1, s. 3), i dess ändrade lydelse, och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31). Direktiv 68/151 upphävdes och ersattes av Europaparlamentets och rådets direktiv 2009/101/EG av den 16 september 2009 om samordning av de skyddsåtgärder som krävs i medlemsstaterna av de i artikel 48 andra stycket i fördraget avsedda bolagen i bolagsmännens och tredje mans intressen, i syfte att göra skyddsåtgärderna likvärdiga inom gemenskapen (EUT L 258, 2009, s. 11), i dess lydelse enligt Europaparlamentets och rådets direktiv 2012/17/EU av den 13 juni 2012 (EUT L 156, 2012, s. 1). Direktiv 95/46 upphävdes och ersattes av dataskyddsförordningen.

28 Se punkt 58. Det målet rörde inte bara offentliggörande av identiteten hos och ställningen för de personer som är behöriga att företräda bolaget eller delta i ledningen, tillsynen eller kontrollen av det bolaget, utan även information om utseende av likvidatorer och deras behörighet. Se, däremot, domen Luxembourg Business Registers, punkterna 63–88, där EU-domstolen, i huvudsak, slog fast att ett krav på att medlemsstaterna säkerställer att uppgifter om den verkliga huvudmannens identitet och arten och omfattningen av dennes faktiska intressen i bolag eller andra juridiska enheter i samtliga fall är tillgängliga för allmänheten stred mot proportionalitetsprincipen, eftersom ingreppet i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan inte var begränsat till vad som var absolut nödvändigt för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism och att det var oproportionerligt i egentlig mening.

29 Jag anser även att ett sådant allmänt offentliggörande rimmar något dåligt med principen bakom ett aktiebolag. Detta framgår kanske tydligare av den innebörd som förmedlas av de språkliga termerna i den spanska, den franska och den portugisiska versionen, nämligen ” sociedad anónima ”, ” société anonoyme ” respektive ” sociedade anónima de responsabilidade limitada ” i bilaga II till direktiv 2017/1132.

30 Se själva titeln på direktiv 2017/1132.

31 Se, analogt, dom av den 18 april 2024, Citadeles nekustamie īpašumi (C‑22/23, EU:C:2024:327, punkt 48).

32 Enligt artikel 161 i direktiv 2017/1132, i dess lydelse enligt Europaparlamentets och rådets direktiv (EU) 2019/1151 av den 20 juni 2019 om ändring av direktiv (EU) 2017/1132 vad gäller användningen av digitala verktyg och förfaranden inom bolagsrätt (EUT L 186, 2019, s. 80), omfattas all behandling av personuppgifter inom ramen för det direktivet av dataskyddsförordningen.

33 Jag anser att dessa två frågor bör besvaras tillsammans.

34 Jag anser att, för att besvara den hänskjutande domstolens frågor, behöver andra bestämmelser i dataskyddsförordningen undersökas, i synnerhet artikel 6.

35 Det ska erinras om att det samarbetssystem som fastställs i artikel 267 FEUF grundar sig på en tydlig funktionsfördelning mellan de nationella domstolarna och EU-domstolen. I ett förfarande enligt den artikeln ankommer det på medlemsstaternas domstolar och inte på EU-domstolen att tolka nationella bestämmelser. Det ankommer vidare inte på EU-domstolen att uttala sig om nationella bestämmelsers förenlighet med bestämmelser i unionsrätten. Däremot är EU-domstolen behörig att tillhandahålla den nationella domstolen alla sådana uppgifter om unionsrättens tolkning som gör det möjligt för den nationella domstolen att pröva huruvida de nationella bestämmelserna är förenliga med unionsrätten(dom av den 11 september 2025, Cairo Network m.fl., C‑764/23C‑766/23, EU:C:2025:691, punkt 43).

36 Dom av den 2 mars 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, punkt 26 och där angiven rättspraxis). EU-domstolen har slagit fast att definitionen av det materiella tillämpningsområdet för dataskyddsförordningen i artikel 2.1 är mycket vid och att undantagen från detta tillämpningsområde, som anges i artikel 2.2, ska tolkas restriktivt. Dom av den 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer (C‑34/21, EU:C:2023:270, punkt 33 och där angiven rättspraxis).

37 Se, analogt, dom av den 6 oktober 2020, Bank Refah Kargaran/rådet (C‑134/19 P, EU:C:2020:793, punkterna 29, 30 och 37). För en förklaring av förhållandet mellan avdelning V kapitel 2 FEU och artikel 215 FEUF, se mitt förslag till avgörande i målet Čiekuri-Shishki (C‑480/24, EU:C:2025:672, punkterna 27, 28, 32 och 33).

38 Se artikel 235.1 i handelslagen och artiklarna 4 10 femte stycket, 4 11 första stycket led 2 och 4 15 första stycket leden 2 b och 3 a i lagen om handelsregistret.

39 Se, analogt, dom av den 24 februari 2022, Valsts ieņēmumu dienests (Behandling av personuppgifter för skatteändamål) (C‑175/20, EU:C:2022:124, punkterna 30–38), och dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 65). Se, även, dom av den 3 april 2025, Ministerstvo zdravotnictví (Uppgifter om en juridisk persons företrädare) (C‑710/23, EU:C:2025:231, punkterna 22–31 och där angiven rättspraxis).

40 Se, analogt, dom av den 5 juni 2023, kommissionen/Polen (Domares oavhängighet och privatliv) (C‑204/21, EU:C:2023:442, punkterna 327–329 och 332 samt där angiven rättspraxis).

41 Dom av den 5 juni 2023, kommissionen/Polen (Domares oavhängighet och privatliv) (C‑204/21, EU:C:2023:442, punkt 332).

42 Se även skäl 73 i dataskyddsförordningen.

43 Dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 207 och 208 samt där angiven rättspraxis), och dom av den 3 april 2025, Ministerstvo zdravotnictví (Uppgifter om en juridisk persons företrädare) (C‑710/23, EU:C:2025:231, punkt 33).

44 Dom av den 11 juli 2024, Meta Platforms Ireland (Grupptalan) (C‑757/22, EU:C:2024:598, punkt 49 och där angiven rättspraxis). Se, emellertid, artikel 23 i dataskyddsförordningen.

45 Se artikel 5.1 a i dataskyddsförordningen.

46 Se artikel 5.1 b i dataskyddsförordningen. I den bestämmelsen fastslås principen om ändamålsbegränsning. Se, även, artikel 8.2 i stadgan, där det krävs att personuppgifter behandlas lagenligt för bestämda ändamål.

47 Se artikel 5.1 c i dataskyddsförordningen. I den bestämmelsen fastslås principen om uppgiftsminimering, som är ett uttryck för proportionalitetsprincipen. Se, för ett liknande resonemang, dom av den 9 januari 2025, Mousse (C‑394/23, EU:C:2025:2, punkt 24 och där angiven rättspraxis). Enligt principen om uppgiftsminimering är den personuppgiftsansvarige bland annat skyldig att, mot bakgrund av ändamålet med den planerade behandlingen, begränsa perioden för insamling av de aktuella personuppgifterna till vad som är absolut nödvändigt. Den personuppgiftsansvarige får dessutom inte generellt och utan åtskillnad samla in personuppgifter och måste avstå från att samla in uppgifter som inte är absolut nödvändiga för ändamålen med behandlingen(dom av den 4 oktober 2024, Schrems (Offentliggörande av uppgifter för allmänheten),C‑446/21, EU:C:2024:834, punkterna 52 och 59 samt där angiven rättspraxis).

48 Se artikel 5.1 d i dataskyddsförordningen.

49 Se artikel 5.1 e i dataskyddsförordningen.

50 Se artikel 5.1 f i dataskyddsförordningen.

51 Dom av den 20 oktober 2022, Digi (C‑77/21, EU:C:2022:805, punkt 47). Enligt artikel 5.2 i dataskyddsförordningen måste den personuppgiftsansvarige dessutom kunna visa att de uppgifterna samlas in i överensstämmelse med artikel 5.1. Detta kallas för ”principen om ansvarsskyldighet”(dom av den 14 mars 2024, Újpesti PolgármesteriHivatal, C‑46/23, EU:C:2024:239, punkt 32 och där angiven rättspraxis).

52 Dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) (C‑439/19, EU:C:2021:504, punkt 99 och där angiven rättspraxis).

53 Artikel 6.1 första stycket i dataskyddsförordningen överlappar och utvecklar således principen om laglig behandling i artikel 5.1 a i den förordningen. Se, för ett liknande resonemang, dom av den 20 oktober 2022, Digi (C‑77/21, EU:C:2022:805, punkterna 49 och 56–59 samt där angiven rättspraxis).

54 Kommissionen anser att det framgår av begäran om förhandsavgörande att behandlingen i förevarande fall grundar sig på artikel 6.1 första stycket c i dataskyddsförordningen. Den norska regeringen har gjort gällande att de nationella bestämmelser som den fjärde frågan grundar sig på utgör en ”rättslig förpliktelse” att behandla uppgifterna i fråga i den mening som avses i artikel 6.1 första stycket c i dataskyddsförordningen. Den polska och den finska regeringen har emellertid även hänvisat till artikel 6.1 första stycket e i dataskyddsförordningen.

55 Se, särskilt, artiklarna 4 10 femte stycket, 4 11 första stycket led2 och 4 15 första stycket leden 2 b och 3 a i lagen om handelsregistret.

56 Se artikel 6.1 första stycket e i dataskyddsförordningen. Den bestämmelsen liknar i viss mån flexibilitetsbestämmelsen i artikel 352 FEUF, enligt vilken det, under vissa omständigheter, är tillåtet att vidta åtgärder som är nödvändiga för att nå ett legitimt mål även om det inte uttryckligen föreskrivs att de ska vidtas.

57 Se, analogt, dom av den 5 juni 2023, kommissionen/Polen (Domares oavhängighet och privatliv) (C‑204/21, EU:C:2023:442, punkt 339 och där angiven rättspraxis), och dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 71). Se, däremot, domen Agentsia po vpisvaniyata, punkterna 107–110, där EU-domstolen ansåg att behandlingen av personuppgifterna inte grundade sig på en rättslig förpliktelse enligt unionsrätten eller den nationella rätten i en medlemsstat, utan föreföll ha utförts i samband med en uppgift av allmänt intresse i den mening som avses i artikel 6.1 första stycket e i dataskyddsförordningen.

58 Se domen Agentsia po vpisvaniyata , punkt 83. Se även, analogt, dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning) (C‑231/22, EU:C:2024:7, punkterna 35–38).

59 En sådan behandling ska anses vara föreskriven i lag, i den mening som avses i artikel 52.1 i stadgan(dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punkt 72).

60 I sitt förslag till avgörande i målet I (Försäljning av en databas) (C‑693/22, EU:C:2024:162, punkt 68), ansåg generaladvokaten Pikamäe att detta i synnerhet innebär att det måste finnas rättsliga bestämmelser som innehåller en uttrycklig hänvisning till arten av och syftet med behandlingen.

61 Domen Agentsia po vpisvaniyata , punkt 104. Se även artikel 5.1 b i dataskyddsförordningen, i vilken principen om ändamålsbegränsning stadfästs och där det slås fast att personuppgifter ska samlas in för ”särskilda, uttryckligt angivna och berättigade ändamål”. I skäl 39 i dataskyddsförordningen anges att ”… [d]e specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in …”.

62 Se även artikel 5.1 b i dataskyddsförordningen.

63 Se, analogt, dom av den 11 januari 2024, État belge (Personuppgifter som behandlas av en officiell tidning) (C‑231/22, EU:C:2024:7, punkt 30).

64 Det ska således prövas huruvida ingreppet i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan vilket följer av allmänhetens tillgång till uppgifter om varje aktieägare är begränsat till vad som är absolut nödvändigt, i den meningen att målet inte rimligen kan uppnås lika effektivt med andra medel som är mindre ingripande i de registrerades grundläggande rättigheter. Se, analogt, domen Luxembourg Business Registers, punkt 66.

65 Se, analogt, domen Luxembourg Business Registers, punkt 63 och där angiven rättspraxis.

66 Dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkterna 69 och 70 samt där angiven rättspraxis), och domen Luxembourg Business Registers, punkterna 59–66 och där angiven rättspraxis. Se, även, skäl 4 i dataskyddsförordningen.

67 Dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 98).

68 Dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkterna 98 och 99 samt där angiven rättspraxis). Se, även, dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor) (C‑252/21, EU:C:2023:537, punkt 134) om betydelsen av den aktuella behandlingens omfattning.

69 Om han eller hon har begärt att företaget ska använda den för att kommunicera med honom eller henne.

70 Se artikel 235.1 i handelslagen.

71 Såsom den hänskjutande domstolen har angett.

72 Se, analogt, Luxembourg Business Registers, punkterna 41–44 och där angiven rättspraxis.

73 I sitt förslag till avgörande i målet Digi Távközlési és Szolgáltató (C‑77/21, EU:C:2022:248, punkt 40), konstaterade generaladvokaten Pikamäe att det i praktiken är fullständigt tänkbart att personuppgifter kan samlas in eller behandlas ytterligare för flera ändamål, vilket tydligt förutses och tydligt medges i dataskyddsförordningen, såsom det framgår av ordalydelsen i artiklarna 5.1 b och 6.1 a samt skälen 32 och 50 i den förordningen.

74 Se, analogt, dom av den 5 juni 2023, kommissionen/Polen (Domares oavhängighet och privatliv) (C‑204/21, EU:C:2023:442, punkt 353).

75 Se, analogt, domen Luxembourg Business Registers, punkt 59 och där angiven rättspraxis.

76 Detta är en av de rättsliga grunderna för direktiv 2017/1132.

77 Se, även, domen Manni, punkterna 49–51, där i) tillgång till nödvändiga uppgifter om bildande av kommersiella bolag och befogenheterna hos dessa bolags företrädare kopplas till ii) skyddet av tredje mans intressen överlag.

78 Se punkterna 58 och 59 samt där angiven rättspraxis samt förslag till avgörande av generaladvokaten Pitruzzella i de förenade målen Luxembourg Business Registers (C‑37/20 och C‑601/20, EU:C:2022:43 punkterna 143–145 och där angiven rättspraxis). Se, analogt, dom av den 2 mars 2023, PrivatBank m.fl. (C‑78/21, EU:C:2023:137, punkt 61).

79 Se, även, Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 2015, s. 73), och Europaparlamentets och rådets direktiv (EU) 2024/1640 av den 31 maj 2024 om de mekanismer som medlemsstaterna ska inrätta för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism (EUT L, 2024/1640). Jag vill betona att det i artikel 42 i direktiv 2015/849 anges att ”[b]ehandling av personuppgifter på grundval av detta direktiv för att förebygga sådan penningtvätt och finansiering av terrorism som avses i artikel 1 ska betraktas som något som är i det allmännas intresse enligt [dataskyddsförordningen]”.

80 Se, för ett liknande resonemang, dom av den 28 mars 2017, Rosneft (C‑72/15, EU:C:2017:236, punkterna 148–150).

81 Och den nationella lagstiftning som införlivar det.

82 Det ankommer på den hänskjutande domstolen att undersöka detta.

83 Se domen Luxembourg Business Registers, punkt 67. Se även, analogt, dom av den 1 augusti 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punkt 83), och dom av den 5 juni 2023, kommissionen/Polen (Domares oavhängighet och privatliv) (C‑204/21, EU:C:2023:442, punkt 367).

84 Rätt till respekt för sina privatliv och till skydd av sina personuppgifter.

85 Ansvariga enheter har åtkomst inom ramen för åtgärder för kundkännedom. Se, särskilt, kapitel II i det direktivet.

86 Se, för ett liknande resonemang, punkt 30 i generalsekretariatet för Europeiska unionens råd, ”Restriktiva åtgärder (sanktioner) – Uppdatering av EU:s bästa praxis för effektivt genomförande av restriktiva åtgärder”, 11623/24, 3 juli 2024, tillgänglig viahttps://data.consilium.europa.eu/doc/document/ST‑11623–2024-INIT/sv/pdf (nedan kallat EU:s bästa praxis).

87 Se den lettiska regeringens skriftliga yttrande, punkt 40. Se även artikel 5 i Republiken Lettlands lag om internationella och nationella sanktioner.

88 Se punkt 83.

89 De har tillgång till de aktuella uppgifterna i samtliga fall, utan begränsning.

90 Enligt definitionen i artikel 3 led 6 i direktiv 2015/849/EG.

91 Detta måste kombineras med annan allmänt tillgänglig information om företag såsom den enligt direktiv 2017/1132.

92 C‑480/24, EU:C:2025:672, punkt 34.

93 Se punkt 41.

94 Min kursivering.

95 Se även, exempelvis, artikel 2.2 i rådets förordning (EU) nr 269/2014 av den 17 mars 2014 om restriktiva åtgärder med avseende på åtgärder som undergräver eller hotar Ukrainas territoriella integritet, suveränitet och oberoende (EUT L 78, 2014, s. 6), i dess lydelse enligt rådets genomförandeförordning (EU) 2022/1985 av den 20 oktober 2022 (EUT L 272I, 2022, s. 1). Se, analogt, dom av den 17 januari 2019, SH (C‑168/17, EU:C:2019:36, punkterna 51 och 53 samt där angiven rättspraxis).

96 Se, exempelvis, förfarandet för att begära ut information som omfattas av restriktioner enligt lagen om informationsfrihet och begränsningarna av den som det har redogjorts för i punkterna 20 och 63–65 ovan.

97 Som är aktiebolag.

98 Se punkt 76 i den domen.

99 Se, analogt, domen Luxembourg Business Registers, punkt 85.

100 Med förbehåll för den hänskjutande domstolens prövning.

101 Den hänskjutande domstolen har hänvisat till ”information som omfattas av restriktioner” i sin begäran om förhandsavgörande.

102 Min kursivering.

103 Direktiv 2015/849 innebär endast minimiharmonisering, eftersom det i artikel 5 i direktivet anges att medlemsstaterna, inom gränserna för unionsrätten, får införa eller behålla strängare regler, under förutsättning att dessa bestämmelser syftar till att stärka kampen mot penningtvätt och finansiering av terrorism(dom av den 2 mars 2023, PrivatBank m.fl.,C‑78/21, EU:C:2023:137, punkt 64).

104 Om än med avseende på aktieägare i allmänhet.

105 Se domen Luxembourg Business Registers, punkt 72. Se även artikel 30.3 i direktiv 2015/849.

106 Det framgår inte av handlingarna i målet vid EU-domstolen vilket det eventuella förhållandet är mellan de bestämmelserna.

107 Med förbehåll för de hänskjutande domstolarnas prövning.

108 Med förbehåll för de kontroller som det ankommer på den hänskjutande domstolen att göra.