CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:495

Věc C‑534/20

Leistritz AG

(žádost o rozhodnutí o předběžné otázce podaná Bundesarbeitsgericht)

Rozsudek Soudního dvora (prvního senátu) ze dne 22. června 2022

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 38 odst. 3 druhá věta – Pověřenec pro ochranu osobních údajů – Zákaz propuštění pověřence pro ochranu osobních údajů v souvislosti s plněním jeho úkolů správcem nebo zpracovatelem – Právní základ – Článek 16 SFEU – Požadavek funkční nezávislosti – Vnitrostátní právní úprava zakazující propouštění pověřence pro ochranu osobních údajů bez závažného důvodu“

Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení 2016/679 – Pověřenec pro ochranu osobních údajů – Úkol – Zákaz propuštění pověřence pro ochranu osobních údajů v souvislosti s plněním jeho úkolů správcem nebo zpracovatelem – Vnitrostátní právní úprava zakazující propouštění pověřence pro ochranu osobních údajů bez závažného důvodu – Propuštění, které nesouvisí s plněním úkolů tohoto pověřence – Přípustnost – Podmínka – Soulad s cíli stanovenými v tomto nařízení

(Nařízení Evropského parlamentu a Rady 2016/679, čl. 38 odst. 3 druhá věta)

(viz body 21-26 a výrok)

Shrnutí

LH vykonává od 1. února 2018 funkci pověřence pro ochranu osobních údajů ve společnosti Leistritz AG. Tato společnost je podle německého práva povinna jmenovat pověřence pro ochranu osobních údajů. V červenci 2018 společnost Leistritz po uplynutí výpovědní doby ukončila pracovní poměr s LH, což odůvodnila restrukturalizací svých činností, v rámci níž bylo oddělení ochrany osobních údajů externalizováno.

Soudy rozhodující ve věci samé, na které se LH, která zpochybnila platnost svého propuštění, obrátila, rozhodly, že propuštění je neplatné. Podle ustanovení německé právní úpravy totiž bylo možné LH, jako zmocněnkyni pro ochranu osobních údajů, dát jen okamžitou výpověď ze závažných důvodů. Restrukturalizace činností společnosti Leistritz přitom takovýmto důvodem není.

V návaznosti na opravný prostředek, který společnost Leistritz podala k Bundesarbeitsgericht (Spolkový pracovní soud, Německo), si tento soud klade otázku, zda obecné nařízení o ochraně osobních údajů(1) umožňuje, aby právní předpisy členského státu podmínily propuštění pověřence pro ochranu osobních údajů přísnějšími podmínkami, než jsou podmínky stanovené unijním právem.

Soudní dvůr ve svém rozsudku rozhodl, že čl. 38 odst. 3 druhá věta GDPR(2) nebrání vnitrostátní právní úpravě, která stanoví, že správce nebo zpracovatel může propustit pověřence pro ochranu osobních údajů, který je jeho zaměstnancem, pouze ze závažného důvodu. A to i v případě, kdy výpověď nesouvisí s výkonem úkolů tohoto pověřence, pokud tato právní úprava neohrožuje dosažení cílů GPPR.

Závěry Soudního dvora

Soudní dvůr zaprvé zdůraznil, že skutečnost, že podle čl. 38 odst. 3 druhé věty GDPR má správce nebo zpracovatel zakázáno pověřence pro ochranu osobních údajů propustit nebo sankcionovat, znamená, že tento pověřenec musí být chráněn před jakýmkoliv rozhodnutím, kterým by byl ukončen výkon jeho funkce, které by mu způsobovalo újmu, nebo které by představovalo sankci. Výpověď udělená zaměstnavatelem pověřenci pro ochranu osobních údajů, která by ukončila pracovní poměr mezi tímto pověřencem a zaměstnavatelem, by tedy mohla takovéto rozhodnutí představovat. Pokud jde o tuto pracovní vazbu, Soudní dvůr upřesnil, že čl. 38 odst. 3 druhá věta GDPR se vztahuje jak na pověřence pro ochranu osobních údajů, který je pracovníkem správce či zpracovatele, tak i na pověřence, který plní své úkoly na základě smlouvy o poskytování služeb uzavřené se správcem nebo zpracovatelem. Toto ustanovení se tedy vztahuje na vztahy mezi pověřencem pro ochranu osobních údajů a správcem nebo zpracovatelem, nezávisle na povaze pracovní vazby mezi nimi. Kromě toho toto ustanovení stanoví mez, která spočívá v zákazu propustit pověřence pro ochranu osobních údajů z jakéhokoli důvodu souvisejícího s plněním jeho úkolů(3).

Zadruhé, pokud jde o cíl sledovaný v čl. 38 odst. 3 druhé větě GDPR, toto nařízení(4) uvádí, že pověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem, v souladu s cílem GDPR(5). Cíl zaručit funkční nezávislost pověřence pro ochranu osobních údajů(6) tedy předpokládá, že tento pověřenec nedostává žádné pokyny týkající se výkonu jeho úkolů, že je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele a že je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností. Článek 38 odst. 3 druhá věta GDPR má tedy za cíl zachovat nezávislost pověřence pro ochranu osobních údajů, protože ho chrání před jakýmkoliv rozhodnutím souvisejícím s plněním jeho úkolů, kterým by byl ukončen výkon jeho funkce, které by mu způsobovalo újmu, nebo které by představovalo sankci. Toto ustanovení nicméně nemá za cíl celkově upravit pracovní vztahy mezi správcem nebo zpracovatelem a jeho zaměstnanci.

Pokud jde zatřetí a konečně o kontext, do nějž čl. 38 odst. 3 druhá věta GDPR zapadá, Soudní dvůr upřesnil, že kromě zvláštní ochrany pověřence pro ochranu osobních údajů stanovené v tomto ustanovení, ochrana pověřence pro ochranu osobních údajů zaměstnaného správcem nebo zpracovatelem proti propuštění nespadá pod pravidla, která by mohla být vydána na základě GDPR(7), nýbrž pod pravidla v oblasti sociální politiky. Unie a členské státy přitom mají v této oblasti sdílenou pravomoc(8). Unie totiž podporuje a doplňuje činnost členských států v oblasti ochrany zaměstnanců při skončení pracovního poměru tím, že v této souvislosti stanoví minimální požadavky. Každý členský stát proto může při výkonu své pravomoci stanovit zvláštní ochranná ustanovení v oblasti propouštění pověřence pro ochranu osobních údajů, pokud tato ustanovení jsou slučitelná s ustanoveními GDPR. Takováto zvýšená ochrana zejména nesmí ohrozit dosažení cílů GDPR. Tak by tomu přitom bylo tehdy, pokud by tato ochrana bránila jakémukoli propuštění, ze strany správce nebo zpracovatele, pověřence pro ochranu osobních údajů, který by již neměl profesní kvality vyžadované pro výkon jeho úkolů nebo který by tyto úkoly neplnil v souladu s ustanoveními GDPR.

1– Viz zejména čl. 38 odst. 3 druhá věta nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „GDPR“).

2– Podle čl. 38 odst. 3 druhé věty GDPR nesmí být pověřenec pro ochranu osobních údajů v souvislosti s plněním svých úkolů správcem nebo zpracovatelem propuštěn ani sankcionován.

3– Podle čl. 39 odst. 1 písm. b) GDPR mezi tyto úkoly patří zejména kontrola dodržování ustanovení unijního práva nebo práva členských států v oblasti ochrany osobních údajů, jakož i interních pravidel správce nebo zpracovatele v oblasti ochrany osobních údajů.

4– A zejména bod 97 odůvodnění GDPR.

5– Cílem GDPR, jak vyplývá z bodu 10 jeho odůvodnění, je zejména zajistit vysokou úroveň ochrany fyzických osob v Unii.

6– Jak vyplývá z čl. 38 odst. 3 první, druhé a třetí věty, jakož i z čl. 38 odst. 5 GDPR.

7– Článek 16 odst. 2 SFEU, který je právním základem GDPR, umožňuje přijetí pravidel o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

8– Podle čl. 4 odst. 2 písm. b) SFEU.