C‑534/20. sz. ügy
Leistritz AG
kontra
LH
(a Bundesarbeitsgericht [Németország] által benyújtott előzetes döntéshozatal iránti kérelem)
A Bíróság ítélete (első tanács), 2022. június 22.
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 38. cikk (3) bekezdésének második mondata – Adatvédelmi tisztviselő – Az adatkezelőre vagy az adatfeldolgozóra vonatkozó azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa – Jogalap – EUMSZ 16. cikk – A funkcionális függetlenség követelménye – Az adatvédelmi tisztviselő alapos ok nélküli elbocsátását tiltó nemzeti szabályozás”
A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Adatvédelmi tisztviselő – Funkció – Az adatkezelőre vagy az adatfeldolgozóra vonatkozó azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa – Az adatvédelmi tisztviselő alapos ok nélküli elbocsátását tiltó nemzeti szabályozás – E tisztviselő feladatainak ellátásához nem kapcsolódó elbocsátás – Megengedhetőség – Feltétel – Az e rendeletben előírt célkitűzések tiszteletben tartása
(2016/679 európai parlamenti és tanácsi rendelet, 38. cikk, (3) bekezdés, második mondat)
(lásd: 21–36. pont és a rendelkező rész)
Összefoglalás
LH 2018. február 1‑je óta a Leistritz AG társaságban adatvédelmi tisztviselői feladatokat lát el. E társaság a német jogszabályok alapján köteles adatvédelmi tisztviselőt kijelölni. A Leistritz 2018 júliusában rendes felmondással megszüntette LH munkaviszonyát olyan szerkezetátalakítási intézkedésre hivatkozva, amelynek keretében kiszervezték az adatvédelmi osztályt.
Az LH felmondásának érvénytelenségére alapított keresetét elbíráló bíróságok úgy határoztak, hogy e felmondás érvénytelen volt. A német szövetségi szabályozás rendelkezéseinek megfelelően ugyanis LH‑nak adatvédelmi tisztviselőként kizárólag rendkívüli felmondással, alapos okból mondhatnak fel. Márpedig a Leistritz szerkezetátalakítása nem tekinthető ilyen oknak.
A Leistritz által a Bundesarbeitsgerichthez (szövetségi munkaügyi bíróság, Németország) benyújtott kereset nyomán e bíróság azt kérdezi, hogy az általános adatvédelmi rendelet(1) alapján megengedhető–e az olyan tagállami szabályozás, amely az adatvédelmi tisztviselő elbocsátását az uniós jognál szigorúbb követelményekhez köti.
Ítéletében a Bíróság megállapítja, hogy a GDPR 38. cikke (3) bekezdésének második mondatával(2) nem ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy adatfeldolgozó a személyi állományába tartozó adatvédelmi tisztviselőnek kizárólag alapos okból mondhat fel. Ez az okfejtés akkor is alkalmazandó, ha a felmondás nem kapcsolódik e tisztviselő feladatainak ellátásához, feltéve hogy e szabályozás nem veszélyezteti a GDPR célkitűzéseinek megvalósítását.
A Bíróság álláspontja
Először, a Bíróság hangsúlyozza, hogy a GDPR 38. cikke (3) bekezdésének második mondata értelmében az adatkezelővel vagy az adatfeldolgozóval szemben előírt azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa, azt jelenti, hogy e tisztviselőt minden olyan döntéssel szemben védelemben kell részesíteni, amellyel elbocsátanák, hátrányos helyzetbe hoznák, vagy amely szanckiót jelent. Így ilyen döntésnek minősülhet az adatvédelmi tisztviselő munkáltató általi elbocsátása, amely megszünteti az e tisztviselő és e munkáltató között a munkaviszonyt. E munkaviszonyt illetően a Bíróság pontosítja, hogy a GDPR 38. cikke (3) bekezdésének második mondata alkalmazandó mind arra az adatvédelmi tisztviselőre, aki az adatkezelő vagy az adatfeldolgozó személyi állományának a tagja, mind arra, aki feladatait az adatkezelővel vagy adatfeldolgozóval kötött szolgáltatási szerződés keretében látja el. E rendelkezés tehát az adatvédelmi tisztviselő és az adatkezelő vagy adatfeldolgozó közötti jogviszonyra alkalmazandó, függetlenül az e tisztviselő és az adatkezelő vagy adatfeldolgozó közötti munkaviszony jellegétől. Ezenkívül ugyanezen rendelkezés olyan korlátot határoz meg, amely abban áll, hogy a feladatai ellátásával kapcsolatos indok alapján tilos az adatvédelmi tisztviselő elbocsátása.(3)
Másodszor, ami a GDPR 38. cikke (3) bekezdésének második mondata által követett célkitűzést illeti, e rendelet(4) kimondja, hogy az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak‑e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása, a GDPR célkitűzésének megfelelően(5). Tehát az adatvédelmi tisztviselő funkcionális függetlenségének biztosítására irányuló célkitűzés(6) értelmében e tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el, és közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel, e tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti. Ennélfogva a GDPR 38. cikke (3) bekezdésének második mondata az adatvédelmi biztos függetlenségének megőrzésére irányul, mivel e rendelkezés megvédi az adatvédelmi tisztviselőt minden olyan döntéssel szemben, amellyel elbocsátanák vagy hátrányos helyzetbe hoznák, vagy amely szankciót jelent. Mindazonáltal e rendelkezésnek nem célja, hogy átfogóan szabályozza az adatkezelő vagy az adatfeldolgozó és a személyi állományának tagjai közötti munkaviszonyt.
Harmadszor és utolsósorban, ami azt az összefüggést illeti, amelybe a GDPR 38. cikke (3) bekezdésének második mondata illeszkedik, a Bíróság pontosítja, hogy az adatvédelmi tisztviselőnek e rendelkezésben előírt különleges védelmén kívül az adatkezelő vagy adatfeldolgozó által alkalmazott adatvédelmi tisztviselő elbocsátásával szembeni védelem nem a GDPR(7) alapján elfogadott szabályok közé, hanem a szociálpolitika területére tartozik. Márpedig az Unió és a tagállamok megosztott hatáskörrel(8) rendelkeznek e területen. A munkavállalók munkaviszonyuk megszüntetése esetén történő védelme területén az Unió támogatja és kiegészíti a tagállamok tevékenységeit, e tekintetben minimális követelmények elfogadása útján. Következésképpen a hatásköre gyakorlása során minden tagállam szabadon határozhat meg nagyobb védelmet biztosító külön rendelkezéseket az adatvédelmi tisztviselő elbocsátására vonatkozóan, feltéve hogy e rendelkezések összeegyeztethetők a GDPR rendelkezéseivel. Különösen az ilyen fokozott védelem nem veszélyeztetheti a GDPR célkitűzéseinek megvalósítását. Márpedig ez lenne a helyzet, ha e fokozott védelem megakadályozná, hogy az adatkezelő vagy adatfeldolgozó elbocsáthassa az olyan adatvédelmi tisztviselőt, aki már nem rendelkezik a feladatai ellátásához megkövetelt szakmai rátermettséggel, vagy aki azokat nem a GDPR rendelkezéseinek megfelelően látja el.