A BÍRÓSÁG ÍTÉLETE (hatodik tanács)
2023. február 9.(*)
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 38. cikk (3) bekezdése – Adatvédelmi tisztviselő – A feladatai ellátásával összefüggő elbocsátás tilalma – A funkcionális függetlenség követelménye – Az adatvédelmi tisztviselő alapos ok nélküli elbocsátását tiltó nemzeti szabályozás – A 38. cikk (6) bekezdése – Összeférhetetlenség – Szempontok”
A C‑453/21. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Bundesarbeitsgericht (szövetségi munkaügyi bíróság, Németország) a Bírósághoz 2021. július 21‑én érkezett, 2021. április 27‑i határozatával terjesztett elő
az X‑FAB Dresden GmbH & Co. KG
és
FC
között folyamatban lévő eljárásban,
A BÍRÓSÁG (hatodik tanács),
tagjai: P. G. Xuereb tanácselnök, A. Kumin és I. Ziemele (előadó) bírák,
főtanácsnok: J. Richard de la Tour,
hivatalvezető: D. Dittert egységvezető,
tekintettel az írásbeli szakaszra és a 2022. szeptember 26‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– az X‑FAB Dresden GmbH & Co. KG képviseletében S. Leese Rechtsanwalt,
– FC képviseletében R. Buschmann és T. Heller Prozessbevollmächtigte,
– a német kormány képviseletében J. Möller, D. Klebs és P.‑L. Krüger, meghatalmazotti minőségben,
– az Európai Parlament képviseletében O. Hrstková Šolcová és B. Schäfer, meghatalmazotti minőségben,
– az Európai Unió Tanácsa képviseletében T. Haas és K. Pleśniak, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében A. Bouchagiar, K. Herrmann és H. Kranenborg, meghatalmazotti minőségben,
tekintettel a főtanácsnok meghallgatását követően hozott határozatra, miszerint az ügy elbírálására a főtanácsnok indítványa nélkül kerül sor,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 38. cikke (3) bekezdése második mondatának értelmezésére és érvényességére, valamint e rendelet 38. cikke (6) bekezdésének értelmezésére vonatkozik.
2 Ezt a kérelmet az X‑FAB Dresden GmbH & Co KG (a továbbiakban: X‑FAB) és alkalmazottja, FC között utóbbinak az adatvédelmi tisztviselői tisztségéből X‑FAB általi elbocsátásával kapcsolatos jogvita keretében terjesztették elő.
Jogi háttér
Az uniós jog
3 A GDPR (10) és (97) preambulumbekezdésének szövege a következő:
„(10) A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell. […]
[…]
(97) Az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak‑e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása.”
4 A GDPR „Az adatvédelmi tisztviselő kijelölése” című 37. cikkének (5) és (6) bekezdése a következőképpen rendelkezik:
„(5) Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.
(6) Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.”
5 A GDPR „Az adatvédelmi tisztviselő jogállása” című 38. cikkének (3), (5) és (6) bekezdése szerint:
„(3) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.
[…]
(5) Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.
(6) Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.”
6 A GDPR „Az adatvédelmi tisztviselő feladatai” című 39. cikke a következőképpen szól:
„(1) Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:
a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
b) ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság‑növelését és képzését, valamint a kapcsolódó auditokat is;
c) kérelemre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését;
d) együttműködik a felügyeleti hatósággal; és
e) az adatkezeléssel összefüggő ügyekben – ideértve a 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
(2) Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.”
A német jog
A BDSG
7 Az 1990. december 20‑i Bundesdatenschutzgesetz (szövetségi adatvédelmi törvény, BGBl. 1990. I, 2954. o.) 2018. május 25. és 2019. november 25. között hatályos változatának (BGBl. 2017. I, 2097. o.; a továbbiakban: BDSG) „Álláshely” című 6. §‑a (4) bekezdésében a következőképpen rendelkezik:
„Az adatvédelmi tisztviselő kizárólag a Bürgerliches Gesetzbuch [(polgári törvénykönyv), a 2002. január 2‑án kihirdetett változata (BGBl. 2002. I, 42. o., helyesbítés: BGB1. 2002. I, 2909. o. és BGBl. 2003. I, 738. o.)] 626. §‑ának megfelelő alkalmazásával bocsátható el. Az adatvédelmi tisztviselő munkaviszonyának felmondása jogellenes, kivéve, ha olyan körülmények állnak fenn, amelyek felhatalmazzák a közigazgatási szervet, hogy alapos okból, felmondási idő nélkül mondjon fel. Az adatvédelmi tisztviselői tevékenység befejezését követően a munkaviszony felmondása egy évig jogellenes, kivéve ha a közigazgatási szerv jogosult alapos okból, felmondási idő nélkül felmondani.”
8 A BDSG „Nem állami szervek adatvédelmi tisztviselői” című 38. §‑a előírja:
„(1) A [GDPR] 37. cikke (1) bekezdésének b) és c) pontjában foglaltakon túl az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki, ha a személyes adatok automatizált módon történő kezeléséhez rendszerint legalább tíz személyt folyamatosan foglalkoztat. […]
(2) A 6. § (4) bekezdését, (5) bekezdésének második mondatát és (6) bekezdését alkalmazni kell, a 6. § (4) bekezdését azonban csak akkor, ha az adatvédelmi tisztviselő kijelölése kötelező.”
A polgári törvénykönyv
9 A polgári törvénykönyv „Alapos okból történő, azonnali hatályú felmondás” című 626. §‑a szerint:
„(1) A munkaviszonyt bármelyik szerződő fél alapos okból felmondási idő nélkül felmondhatja, ha olyan körülmények állnak fenn, amelyek alapján az ügy körülményeire tekintettel, a felek érdekeit mérlegelve észszerűen nem várható el a munkaviszonyt felmondó féltől, hogy a munkaviszonyt a felmondási idő lejártáig, illetve a munkaviszony megállapodás szerinti megszüntetéséig fenntartsa.
(2) A felmondásra kizárólag két héten belül kerülhet sor. A határidő azon a napon kezdődik, amelyen a felmondásra jogosult fél tudomást szerez a felmondást megalapozó tényekről. […]”
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
10 FC 1993. november 1‑je óta az X‑FAB alkalmazottja.
11 Ennél a vállalatnál ő tölti be az üzemi tanács elnöki tisztségét, ezért részben mentesül a munkavégzés alól. Ezenkívül a központi üzemi tanács alelnöki tisztségét is betölti, amelyet azon vállalatcsoport három vállalkozása részére hoztak létre, amelyhez az X‑FAB tartozik, és amelyek Németországban rendelkeznek székhellyel.
12 2015. június 1‑jei hatállyal FC‑t minden vállalat külön‑külön jelölte ki az X‑FAB, annak anyavállalata és más németországi leányvállalatai adatvédelmi tisztviselőjének. A kérdést előterjesztő bíróság szerint FC‑nek az összes említett vállalat adatvédelmi tisztviselőjeként való párhuzamos kijelölésének célja az volt, hogy biztosítsa az adatvédelem egységes szintjét az említett vállalatokban.
13 A türingiai adatvédelmi és információszabadság‑ügyi biztosának (Németország) kérésére az X‑FAB és a jelen ítélet 12. pontjában említett vállalatok 2017. december 1‑jén kelt leveleikben azonnali hatállyal elbocsátották FC‑t adatvédelmi tisztviselői tisztségéből. E vállalkozások a 2018. május 25‑i külön leveleikben mindenesetre ismételten közölték az időközben hatályba lépett GDPR 38. cikke (3) bekezdésének második mondatán alapuló intézkedésüket, azon vállalatcsoporthoz kapcsolódó indokokra hivatkozva, amelyhez az X‑FAB tartozik.
14 Az FC által a német bíróságokhoz benyújtott kereset annak megállapítására irányul, hogy továbbra is FC az X‑FAB adatvédelmi tisztviselője. Az X‑FAB azzal érvel, hogy fennáll az összeférhetetlenség veszélye, amennyiben FC egyidejűleg tölti be az adatvédelmi tisztviselő és az üzemi tanács elnöki tisztségét, mivel e két állás összeférhetetlen. Az X‑FAB szerint alapos ok támasztja alá, hogy FC‑t elbocsássák az adatvédelmi tisztviselői tisztségéből.
15 Az első‑ és a fellebbviteli bíróságok helyt adtak FC által benyújtott keresetnek. A Bundesarbeitsgerichthez (szövetségi munkaügyi bíróság, Németország), a kérdést előterjesztő bírósághoz benyújtott felülvizsgálati kérelemben az X‑FAB a kereset elutasítását kéri.
16 A kérdést előterjesztő bíróság megjegyzi, hogy e felülvizsgálat kimenetele az uniós jog értelmezésétől függ. Így különösen az a kérdés merül fel, hogy az RGPD 38. cikke (3) bekezdésének második mondatával ellentétes‑e az, hogy valamely tagállam szabályozása az adatvédelmi tisztviselő elbocsátását az uniós jogban előírtaknál szigorúbb feltételekhez kösse, és ha igen, e rendelkezésnek van‑e megfelelő jogalapja. Abban az esetben, ha a Bíróság azt állapítja meg, hogy a BDSG által az elbocsátásra előírt feltételek összhangban vannak az uniós joggal, meg kell állapítani, hogy az üzemi tanács elnöki és az adatvédelmi tisztviselői feladatokat ugyanazon vállalatnál elláthatja‑e ugyanazon személy, vagy ez az RGPD 38. cikke (6) bekezdésének második mondata értelmében vett összeférhetetlenséget eredményez.
17 E körülmények között határozott úgy a Bundesarbeitsgericht (szövetségi munkaügyi bíróság), hogy felfüggeszti az eljárást, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„1) Úgy kell‑e értelmezni a[GDPR] 38. cikke (3) bekezdésének második mondatát, hogy azzal ellentétes a nemzeti jog olyan rendelkezése, mint a [BDSG] 6. §‑a (4) bekezdésének első mondatával összefüggésben értelmezett 38. § (1) és (2) bekezdése, mely az adatvédelmi tisztviselő azon adatkezelő általi elbocsátását, aki egyben a munkáltatója is, az e rendelkezésben meghatározott feltételekhez köti függetlenül attól, hogy arra az adatvédelmi tisztviselő feladatainak ellátásával összefüggésben kerül‑e sor?
Az első kérdésre adott igenlő válasz esetén:
2) Ellentétes‑e a [GDPR] 38. cikke (3) bekezdésének második mondatával az ilyen nemzeti jogi rendelkezés akkor is, ha az adatvédelmi tisztviselő kijelölése nem a rendelet 37. cikkének (1) bekezdése, hanem kizárólag a tagállam joga alapján kötelező?
Az első kérdésre adott igenlő válasz esetén:
3) Megfelelő felhatalmazási alapon nyugszik‑e a [GDPR] 38. cikke (3) bekezdésének második mondata, különösen amennyiben az adatkezelővel munkaviszonyban álló adatvédelmi tisztviselőkről rendelkezik?
Az első kérdésre adott nemleges válasz esetén:
4) Fennáll‑e a [GDPR] 38. cikke (6) bekezdésének második mondata értelmében vett összeférhetetlenség, ha az adatvédelmi tisztviselő egyúttal az adatkezelő szervnél felállított üzemi tanács elnöki tisztségét is betölti? Feltételezi‑e az ilyen összeférhetetlenség az üzemi tanácson belüli különös feladatkiosztást?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
18 A kérdést előterjesztő bíróság első kérdésével lényegében arra keresi a választ, hogy a GDPR 38. cikke (3) bekezdésének második mondatát úgy kell‑e értelmezni, hogy azzal ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy adatfeldolgozó a személyi állományába tartozó adatvédelmi tisztviselőt kizárólag alapos okból bocsáthatja el, még akkor is, ha az elbocsátás nem kapcsolódik e tisztviselő feladatainak ellátásához.
19 Az állandó ítélkezési gyakorlat szerint valamely uniós jogi rendelkezés értelmezéséhez nemcsak a rendelkezés általános nyelvhasználatban elfogadott szokásos jelentésének megfelelő szövegét, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is figyelembe kell venni, amelynek részét képezi (2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 18. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
20 Egyrészt, ami a szóban forgó rendelkezés szövegét illeti, meg kell jegyezni, hogy a GDPR 38. cikkének (3) bekezdése második mondata úgy rendelkezik, hogy „[a]z adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja”.
21 E tekintetben a Bíróság a 2022. június 22‑i Leistritz ítéletében (C‑534/20, EU:C:2022:495, 20. és 21. pont), miután megállapította, hogy a GDPR nem határozza meg az e 38. cikk (3) bekezdésének második mondatában szereplő, „[el]bocsáthatja”, „szankcióval […] sújthatja” és a „feladatai ellátásával összefüggésben” kifejezéseket, hangsúlyozta először is, e kifejezéseknek az általános nyelvhasználatban elfogadott jelentése szerint az adatkezelővel vagy az adatfeldolgozóval szemben előírt azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa, azt jelenti, hogy e tisztviselőt minden olyan döntéssel szemben védelemben kell részesíteni, amellyel elbocsátanák, hátrányos helyzetbe hoznák, vagy amely szankciót jelent.
22 Márpedig ilyen határozatnak minősülhet a munkáltató adatvédelmi tisztviselőt elbocsátó intézkedése, amelynek következtében az adatvédelmi tisztviselő felmentésre kerül az adatkezelőnél vagy annak adatfeldolgozójánál ellátott feladatai alól.
23 Másodszor, amint arra a Bíróság szintén rámutatott, a GDPR 38. cikke (3) bekezdésének második mondata különbségtétel nélkül alkalmazandó mind arra az adatvédelmi tisztviselőre, aki az adatkezelő vagy az adatfeldolgozó személyi állományának a tagja, mind arra, aki feladatait az adatkezelővel vagy adatfeldolgozóval a GDPR 37. cikke (6) bekezdésének megfelelően kötött szolgáltatási szerződés keretében látja el, ezért a GDPR 38. cikke (3) bekezdésének második mondata az adatvédelmi tisztviselő és az adatkezelő vagy adatfeldolgozó közötti jogviszonyra alkalmazandó, függetlenül az e tisztviselő és az adatkezelő vagy adatfeldolgozó közötti munkaviszony jellegétől (2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 23. és 24. pont).
24 Harmadszor, ez utóbbi rendelkezés olyan korlátot határoz meg, amely abban áll, hogy a feladatai ellátásával kapcsolatos indok alapján tilos az adatvédelmi tisztviselő elbocsátása, amely feladatok közé tartozik a GDPR 39. cikke (1) bekezdésének b) pontja értelmében különösen az uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelés ellenőrzése (lásd ebben az értelemben: 2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 25. pont).
25 Másrészt, ami a GDPR 38. cikke (3) bekezdésének második mondata által követett célkitűzést illeti, először is hangsúlyozni kell, hogy e rendelet (97) preambulumbekezdése kimondja, hogy az adatvédelmi tisztviselőknek – függetlenül attól, hogy az adatkezelő alkalmazásában állnak‑e – módjukban kell állnia, kötelezettségeik és feladataik független ellátása. E tekintetben e függetlenségnek szükségszerűen lehetővé kell tennie számukra e feladatoknak a GDPR célkitűzésének megfelelő ellátását, amely rendelet – amint az a (10) preambulumbekezdéséből kitűnik – többek között arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az Unión belül, és e célból a személyes adatok kezelése tekintetében biztosítsa a természetes személyek alapvető jogainak és szabadságainak védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén (2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 26. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
26 Másodszor, az adatvédelmi tisztviselő funkcionális függetlenségének biztosítására irányuló célkitűzés, amint az a GDPR 38. cikke (3) bekezdésének második mondatából következik, szintén kitűnik e 38. cikk (3) bekezdésének első és harmadik mondatából, amely előírja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el, és közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel, valamint a GDPR 38. cikk (5) bekezdéséből, amely előírja, hogy e tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti (2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 27. pont).
27 Ily módon a GDPR 38. cikke (3) bekezdésének második mondatát – amely megvédi az adatvédelmi tisztviselőt minden olyan döntéssel szemben, amellyel elbocsátanák vagy hátrányos helyzetbe hoznák, vagy amely szanckiót jelent, amennyiben az ilyen döntés a feladatai ellátásával kapcsolatos – úgy kell tekinteni, hogy az alapvetően az adatvédelmi tisztviselő funkcionális függetlenségének megőrzésére, és ennélfogva a GDPR rendelkezései tényleges érvényesülésének biztosítására irányul (2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 28. pont).
28 Amint azt a Bíróság szintén kimondta, ezt az értelmezést, az kontextus is megerősíti, harmadrészt, amelybe az említett rendelkezés illeszkedik, és különösen az a jogalap, amely alapján az uniós jogalkotó elfogadta a GDPR‑t (2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 29. pont).
29 A GDPR preambulumából ugyanis kitűnik, hogy azt az EUMSZ 16. cikk alapján fogadták el, amelynek (2) bekezdése többek között azt írja elő, hogy a természetes személyeknek az uniós intézmények, szervek és hivatalok által, illetve az uniós jog alkalmazási körébe tartozó tevékenységeik során a személyes adataiknak a tagállamok által végzett feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályokat rendes jogalkotási eljárás keretében az Európai Parlament és a Tanács állapítja meg (2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 30. pont).
30 E tekintetben az adatkezelő vagy adatfeldolgozó által alkalmazott adatvédelmi tisztviselő elbocsátásával szembeni védelemre vonatkozó szabályok megállapítása kizárólag annyiban tartozik a személyes adatok feldolgozása tekintetében a természetes személyek védelmének körébe, amennyiben e szabályok célja az adatvédelmi tisztviselő funkcionális függetlenségének megőrzése az RGPD 38. cikke (3) bekezdése második mondatának megfelelően (lásd ebben az értelemben: 2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 31. pont).
31 Ebből következik, hogy a fenntartott hatásköre gyakorlása során minden tagállam szabadon határozhat meg nagyobb védelmet biztosító külön rendelkezéseket az adatvédelmi tisztviselő elbocsátására vonatkozóan, feltéve hogy e rendelkezések összeegyeztethetők az uniós joggal, és különösen a GDPR rendelkezéseivel, többek között a 38. cikke (3) bekezdésének második mondatával (lásd ebben az értelemben: 2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 34. pont).
32 Így különösen az ilyen fokozott védelem nem veszélyeztetheti a GDPR célkitűzéseinek megvalósítását. Márpedig ez lenne a helyzet, ha e fokozott védelem megakadályozná, hogy az adatkezelő vagy adatfeldolgozó elbocsáthassa az olyan adatvédelmi tisztviselőt, aki már nem rendelkezik a feladatai ellátásához megkövetelt szakmai rátermettséggel a GDPR 37. cikkének (5) bekezdése értelmében, vagy aki azokat nem e rendelet rendelkezéseinek megfelelően látja el (lásd ebben az értelemben: 2022. június 22‑i Leistritz ítélet, C‑534/20, EU:C:2022:495, 35. pont).
33 E tekintetben emlékeztetni kell arra, amint azt a jelen ítélet 25. pontja is megállapítja, hogy a GDPR célja a természetes személyek Unión belüli magas szintű védelmének biztosítása a személyes adataik kezelése tekintetében, és hogy e cél megvalósítása érdekében a adatvédelmi tisztviselőnek módjában kell állnia, hogy függetlenül lássa el kötelezettségeit és feladatait.
34 E cél megvalósítását veszélyeztetné tehát az adatvédelmi tisztviselő magasabb szintű védelme, amely abban az esetben is megakadályozná elbocsátását, ha összeférhetetlenség miatt nem vagy már nem képes önállóan ellátni feladatait.
35 A nemzeti bíróság feladata, hogy meggyőződjön arról, hogy az olyan különös rendelkezések, mint a jelen ítélet 31. pontjában említettek, összeegyeztethetők‑e az uniós joggal és különösen a GDPR rendelkezéseivel.
36 A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, hogy a GDPR 38. cikke (3) bekezdésének második mondatát úgy kell értelmezni, hogy azzal nem ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy adatfeldolgozó a személyi állományába tartozó adatvédelmi tisztviselőt kizárólag alapos okból bocsáthatja el, még akkor is, ha az elbocsátás nem kapcsolódik e tisztviselő feladatainak ellátásához, feltéve hogy e szabályozás nem veszélyezteti a GDPR célkitűzéseinek megvalósítását.
A második és a harmadik kérdésről
37 Az első kérdésre adott válaszra tekintettel a második és a harmadik kérdésre nem szükséges válaszolni.
A negyedik kérdésről
38 Negyedik kérdésével a kérdést előterjesztő bíróság lényegében arra keresi a választ, hogy a GDPR 38. cikkének (6) bekezdése értelmében vett „összeférhetetlenség” fennállása milyen feltételek mellett állapítható meg.
39 Ami először is a szóban forgó rendelkezés szövegét illeti, rá kell mutatni, hogy a GDPR 38. cikke (6) bekezdésének második mondata értelmében „[a]z adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.”
40 E rendelkezés szövegéből tehát egyrészt az következik, hogy a GDPR nem állapít meg elvi összeférhetetlenséget egyrészt az adatvédelmi tisztviselői feladatok ellátása, másrészt a más feladatoknak az adatkezelőnél vagy annak adatfeldolgozójánál történő ellátása között. E rendelet 38. cikkének (6) bekezdése ugyanis kifejezetten úgy rendelkezik, hogy az adatvédelmi tisztviselőt a GDPR 39. cikke alapján rábízott feladatokon kívül más feladatok ellátásával is meg lehet bízni.
41 Másrészt azonban az adatkezelőnek vagy annak adatfeldolgozójának biztosítania kell, hogy ezen más feladatokból ne fakadjon „összeférhetetlenség”. Tekintettel e kifejezéseknek az általános nyelvhasználatban elfogadott jelentésére, meg kell állapítani, hogy a GDPR 38. cikkének (6) bekezdése által követett célkitűzéssel összhangban az adatvédelmi tisztviselőt nem lehet olyan feladatok teljesítésével megbízni, amelyek akadályozhatják az adatvédelmi tisztviselői feladatainak ellátását.
42 E célkitűzést illetően másodszor meg kell állapítani, hogy e rendelkezés – a jelen ítélet 25. pontjában említett többi rendelkezéshez hasonlóan – lényegében az adatvédelmi tisztviselő funkcionális függetlenségének megőrzésére, és ennélfogva a GDPR rendelkezései hatékonyságának biztosítására irányul.
43 Harmadrészt, ami azt az összefüggést illeti, amelybe a GDPR 38. cikkének (6) bekezdése illeszkedik, meg kell állapítani, hogy a GDPR 39. cikke (1) bekezdésének b) pontja szerint az adatvédelmi tisztviselő feladata többek között, hogy ellenőrizze a GDPR‑nek, valamint az egyéb uniós vagy nemzeti adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet képzését és tudatosság‑növelését, valamint a kapcsolódó auditokat is.
44 Ebből különösen az következik, hogy az adatvédelmi tisztviselőre nem lehet olyan feladatokat bízni, amelyek következtében az adatkezelővel vagy annak adatfeldolgozójával együtt meghatározhatná a személyes adatok kezelésének céljait és eszközeit. Az uniós és tagállami adatvédelmi jogszabályok szerint ugyanis e célok és eszközök ellenőrzését az adatvédelmi tisztviselőnek függetlenül kell végeznie.
45 A GDPR 38. cikkének (6) bekezdése értelmében vett összeférhetetlenség fennállását esetről‑esetre kell megállapítani, az összes releváns körülmény, így különösen az adatkezelő vagy annak adatfeldolgozója szervezeti felépítésének értékelése alapján, és az alkalmazandó szabályozás egészének fényében, az utóbbiak esetleges belső szabályait is beleértve.
46 A fenti megfontolások összességére tekintettel a negyedik kérdésre azt a választ kell adni, hogy a GDPR 38. cikkének (6) bekezdését úgy kell értelmezni, hogy az e rendelkezés értelmében vett „összeférhetetlenség” állhat fenn, ha az adatvédelmi tisztviselőre olyan egyéb feladatokat bíznak, amelyek következtében az adatkezelővel vagy annak adatfeldolgozójával együtt meghatározhatja a személyes adatok kezelésének céljait és eszközeit, amit a nemzeti bíróságnak esetről‑esetre kell megállapítania, az összes releváns körülmény, így különösen az adatkezelő vagy annak adatfeldolgozója szervezeti felépítésének értékelése alapján, és az alkalmazandó szabályozás egészének fényében, az utóbbiak esetleges belső szabályait is beleértve.
A költségekről
47 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (hatodik tanács) a következőképpen határozott:
1) A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 38. cikke (3) bekezdésének második mondatát úgy kell értelmezni, hogy azzal nem ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy adatfeldolgozó a személyi állományába tartozó adatvédelmi tisztviselőt kizárólag alapos okból bocsáthatja el, még akkor is, ha az elbocsátás nem kapcsolódik e tisztviselő feladatainak ellátásához, feltéve hogy e szabályozás nem veszélyezteti e rendelet célkitűzéseinek megvalósítását.
2) A 2016/679 rendelet 38. cikkének (6) bekezdését úgy kell értelmezni, hogy az említett rendelkezés értelmében vett „összeférhetetlenség” állhat fenn, ha az adatvédelmi tisztviselőre olyan egyéb feladatokat bíznak, amelyek következtében az adatkezelővel vagy annak adatfeldolgozójával együtt meghatározhatja a személyes adatok kezelésének céljait és eszközeit, amit a nemzeti bíróságnak esetről‑esetre kell megállapítania, az összes releváns körülmény, így különösen az adatkezelő vagy annak adatfeldolgozója szervezeti felépítésének értékelése alapján, és az alkalmazandó szabályozás egészének fényében, az utóbbiak esetleges belső szabályait is beleértve.
Aláírások