CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:62

STANOVISKO GENERÁLNÍHO ADVOKÁTA

JEANA RICHARDA DE LA TOUR

přednesené dne 27. ledna 2022(1)

Věc C‑534/20

Leistritz AG

proti

[žádost o rozhodnutí o předběžné otázce podaná Bundesarbeitsgericht (Spolkový pracovní soud, Německo)]

„Řízení o předběžné otázce – Ochrana fyzických osob v souvislosti se zpracováním osobních údajů – Nařízení (EU) 2016/679 – Článek 38 odst. 3 druhá věta – Pověřenec pro ochranu osobních údajů – Zákaz propuštění pověřence v souvislosti s plněním jeho úkolů – Právní základ – Článek 16 SFEU – Platnost – Požadavek funkční nezávislosti – Rozsah harmonizace – Vnitrostátní právní úprava zakazující rozvázání pracovního poměru pověřence pro ochranu osobních údajů bez závažného důvodu – Pověřenec pro ochranu osobních údajů povinně jmenovaný podle vnitrostátního práva“

I. Úvod

1. Projednávaná žádost o rozhodnutí o předběžné otázce podaná Bundesarbeitsgericht (Spolkový pracovní soud, Německo) se týká výkladu a platnosti čl. 38 odst. 3 druhé věty nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)(2).

2. Tato žádost byla předložena v rámci sporu mezi LH a jejím zaměstnavatelem, společností Leistritz AG, ve věci ukončení jejího pracovního poměru z důvodu reorganizace útvaru, kde byla zaměstnána, ačkoliv podle použitelného německého práva lze s LH s ohledem na její jmenování pověřencem pro ochranu osobních údajů rozvázat pracovní poměr pouze výpovědí ze závažného důvodu bez dodržení výpovědní doby.

3. V tomto stanovisku objasním důvody, na základě kterých se domnívám, že zákaz propuštění pověřence pro ochranu osobních údajů stanovený v čl. 38 odst. 3 druhé větě nařízení 2016/679 není výsledkem harmonizace hmotněprávních pravidel pracovního práva, což členským státům ponechává možnost posílit ochranu tohoto pověřence ve vnitrostátních právních úpravách v různých oblastech, a to v souladu s cílem sledovaným tímto nařízením.

II. Právní rámec

A. Nařízení 2016/679

4. Body 10, 13 a 97 odůvodnění nařízení 2016/679 zní:

„(10) S cílem zajistit soudržnou a vysokou úroveň ochrany fyzických osob a odstranit překážky bránící pohybu osobních údajů v rámci [Evropské] unie by měla být úroveň ochrany práv a svobod fyzických osob v souvislosti se zpracováním těchto údajů rovnocenná ve všech členských státech. V celé Unii je třeba zajistit soudržné a jednotné uplatňování pravidel ochrany základních práv a svobod fyzických osob v souvislosti se zpracováním osobních údajů. […]

[…]

(13) Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých členských států. […]

[…]

(97) […] [P]ověřenci pro ochranu osobních údajů, bez ohledu na to, zda se jedná o zaměstnance správce, by měli být schopni plnit své povinnosti a úkoly nezávislým způsobem.“

5. Článek 1 tohoto nařízení, nadepsaný „Předmět a cíle“ v odstavci 1 stanoví:

„Toto nařízení stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů.“

6. Článek 37 uvedeného nařízení, nadepsaný „Jmenování pověřence pro ochranu osobních údajů“, v odstavcích 1 a 4 až 6 stanoví:

„1. Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:

a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;

b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

[…]

4. V jiných případech, než jaké jsou uvedeny v odstavci 1, mohou nebo, vyžaduje-li to právo Unie nebo členského státu, musí pověřence pro ochranu osobních údajů jmenovat správce nebo zpracovatel nebo sdružení a jiné subjekty zastupující kategorie správců či zpracovatelů. Pověřenec pro ochranu osobních údajů může jednat ve prospěch takovýchto sdružení a jiných subjektů zastupujících správce nebo zpracovatele.

5. Pověřenec pro ochranu osobních údajů musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany údajů a své schopnosti plnit úkoly stanovené v článku 39.

6. Pověřenec pro ochranu osobních údajů může být pracovníkem správce či zpracovatele, nebo může úkoly plnit na základě smlouvy o poskytování služeb.“

7. Článek 38 téhož nařízení, nadepsaný „Postavení pověřence pro ochranu osobních údajů“, stanoví:

„1. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

[…]

3. Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů nedostával žádné pokyny týkající se výkonu těchto úkolů. V souvislosti s plněním svých úkolů není správcem nebo zpracovatelem propuštěn ani sankcionován. Pověřenec pro ochranu osobních údajů je přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele.

4. Subjekty údajů se mohou obracet na pověřence pro ochranu osobních údajů ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle tohoto nařízení.

5. Pověřenec pro ochranu osobních údajů je v souvislosti s výkonem svých úkolů vázán tajemstvím nebo důvěrností, v souladu s právem Unie nebo členského státu.

6. Pověřenec pro ochranu osobních údajů může plnit i jiné úkoly a povinnosti. Správce nebo zpracovatel zajistí, aby žádné z těchto úkolů a povinností nevedly ke střetu zájmů.“

8. Článek 39 nařízení 2016/679 zakotvuje hlavní úkoly pověřence pro ochranu osobních údajů.

B. Německé právo

9. Ustanovení § 6 Bundesdatenschutzgesetz (spolkový zákon o ochraně údajů) ze dne 20. prosince 1990(3) ve znění účinném od 25. května 2018 do 25. listopadu 2019(4), nadepsané „Postavení“ v odstavci 4 stanoví:

„Odvolání pověřence pro ochranu osobních údajů je přípustné pouze za podmínek vyplývajících z obdobného použití § 626 Bürgerliches Gesetzbuch [(občanský zákoník)]. Propuštění pověřence je nepřípustné, ledaže nastaly skutečnosti, které veřejný subjekt opravňují k propuštění ze závažného důvodu bez dodržení výpovědní doby. Po skončení výkonu činnosti pověřence je propuštění po dobu jednoho roku nepřípustné, ledaže je veřejný subjekt oprávněn k propuštění ze závažného důvodu bez dodržení výpovědní doby.“

10. Ustanovení § 38 BDSG, nadepsané „Pověřenci pro ochranu osobních údajů neveřejných subjektů“, stanoví:

„1) Kromě případů uvedených v čl. 37 odst. 1 písm. b) a c) nařízení […] 2016/679 správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v případě, že zpravidla soustavně zaměstnávají nejméně deset osob[(5)] automatizovaným zpracováním osobních údajů. […]

2) Ustanovení § 6 odst. 4, § 6 odst. 5 druhé věty a § 6 odst. 6 se použijí [obdobně]; ustanovení § 6 odst. 4 se však použije pouze v případě, že je jmenování pověřence pro ochranu osobních údajů povinné.“

11. Ustanovení § 134 občanského zákoníku ve znění zveřejněném dne 2. ledna 2002(6), nadepsané „Zákonný zákaz“, zní:

„Právní jednání, které odporuje zákonnému zákazu, je neplatné, nevyplývá-li ze zákona něco jiného.“

12. Ustanovení § 626 tohoto zákoníku, nadepsané „Okamžitá výpověď ze závažného důvodu“, zní:

„1) Pracovní poměr může být každou ze smluvních stran ukončen ze závažného důvodu bez dodržení výpovědní doby, pokud nastaly skutečnosti, na jejichž základě nelze od osoby dávající výpověď s přihlédnutím ke všem okolnostem daného případu a při zvážení zájmů obou smluvních stran požadovat pokračování pracovního poměru až do uplynutí výpovědní doby nebo do sjednaného konce pracovního poměru.

2) K výpovědi může dojít pouze do dvou týdnů. Uvedená lhůta začíná běžet okamžikem, kdy se osoba oprávněná dát výpověď dozví o skutečnostech, které jsou pro výpověď rozhodné […].“

III. Spor v původním řízení a předběžné otázky

13. Leistritz je společností soukromého práva, která má dle německého práva povinnost jmenovat pověřence pro ochranu osobních údajů. LH vykonávala v této společnosti od 15. ledna 2018 funkci vedoucí právního oddělení a od 1. února 2018 funkci pověřenkyně společnosti pro ochranu osobních údajů.

14. Dopisem ze dne 13. července 2018 Leistritz rozvázala s LH pracovní poměr řádnou výpovědí s účinností k 15. srpnu 2018, kterou odůvodnila restrukturalizací podniku, v jejímž rámci byly právní zastupování společnosti a služby ochrany osobních údajů přeneseny na externí subjekt.

15. Soudy nižšího stupně meritorně rozhodující ve věci žaloby LH na neplatnost výpovědi rozhodly, že podle § 38 odst. 2 ve spojení s § 6 odst. 4 druhou větou BDSG lze LH, jakožto pověřenkyni pro ochranu osobních údajů, dát pouze okamžitou výpověď, a to ze závažného důvodu. Restrukturalizace popsaná společností Leistritz přitom nepředstavuje závažný důvod pro okamžitou výpověď.

16. Předkládající soud, ke kterému podala Leistritz opravný prostředek „Revision“, uvádí, že podle německého práva je výpověď daná LH dle těchto ustanovení a § 134 občanského zákoníku neplatná(7). Předkládající soud nicméně poukazuje na to, že použitelnost těchto ustanovení závisí na tom, zda je v souladu s unijním právem, a zejména s čl. 38 odst. 3 druhou větou nařízení 2016/679, vnitrostátní právní úprava členského státu, která váže výpověď danou pověřenci pro ochranu osobních údajů na přísnější podmínky, než jsou podmínky stanovené unijním právem. Pokud by tomu tak nebylo, bylo by namístě opravnému prostředku „Revision“ vyhovět.

17. Za těchto okolností Bundesarbeitsgericht (Spolkový pracovní soud) rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

„1) Musí být ustanovení čl. 38 odst. 3 druhá věta nařízení [2016/679] vykládáno v tom smyslu, že brání takovým ustanovením vnitrostátního práva, jako jsou v projednávané věci § 38 odst. 1 a 2 ve spojení s § 6 odst. 4 druhou větou [BDSG], která prohlašují rozvázání pracovního poměru pověřence pro ochranu osobních údajů řádnou výpovědí ze strany správce, který je jeho zaměstnavatelem, za nepřípustné bez ohledu na to, zda k němu dochází v souvislosti s plněním úkolů pověřence?

2) V případě kladné odpovědi na první otázku:

Brání čl. 38 odst. 3 druhá věta [nařízení 2016/679] takovým ustanovením vnitrostátního práva i v případě, že jmenování pověřence pro ochranu osobních údajů není povinné podle čl. 37 odst. 1 [tohoto nařízení], nýbrž pouze podle práva členského státu?

3) V případě kladné odpovědi na první otázku:

Spočívá čl. 38 odst. 3 druhá věta [nařízení 2016/679] na dostatečném právním základě, a to zejména v rozsahu, v jakém se vztahuje na pověřence pro ochranu osobních údajů, kteří jsou ke správci vázaní pracovní smlouvou?“

18. Písemná vyjádření předložily LH, Leistritz, německá a rumunská vláda, jakož i Evropský parlament, Rada Evropské unie a Evropská komise. S výjimkou německé a rumunské vlády přednesly tyto zúčastněné strany ústní vyjádření na jednání, které se konalo dne 18. listopadu 2021.

IV. Analýza

A. K první předběžné otázce

19. Podstatou první předběžné otázky položené předkládajícím soudem je, zda čl. 38 odst. 3 druhá věta nařízení 2016/679 musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která stanoví, že zaměstnavatel pověřence pro ochranu osobních údajů může s tímto pověřencem rozvázat pracovní poměr pouze ze závažného důvodu, a to i když takové rozvázání nesouvisí s plněním úkolů pověřence.

20. Pro účely odpovědi na tuto otázku je třeba v prvé řadě upřesnit, co zahrnuje výraz „propuštěn v souvislosti s plněním svých úkolů“, který používá unijní normotvůrce v čl. 38 odst. 3 druhé větě nařízení 2016/679. Následně bude nezbytné určit, zda mají členské státy možnost rozšířit záruky, kterých pověřenec pro ochranu osobních údajů podle tohoto ustanovení požívá.

1. K ochraně pověřence pro ochranu osobních údajů podle čl. 38 odst. 3 druhé věty nařízení 2016/679

21. Článek 38 nařízení 2016/679 je součástí kapitoly IVtohoto nařízení, která se týká „správce a zpracovatele“, a to konkrétně oddílu 4, nadepsaného „Pověřenec pro ochranu osobních údajů“. Tento oddíl tvoří tři články, týkající se jmenování pověřence(8), jeho postavení(9) a jeho úkolů, které sestávají především z poskytování poradenství ve věci zpracování osobních údajů a monitorování souladu s pravidly v oblasti ochrany údajů(10).

22. Při výkladu čl. 38 odst. 3 druhé věty nařízení 2016/679 je podle ustálené judikatury Soudního dvora třeba vzít v úvahu nejen znění tohoto ustanovení, ale i jeho kontext a cíle sledované právní úpravou, jejíž je součástí(11).

23. Co se týče znění čl. 38 odst. 3 druhé věty nařízení 2016/679, podotýkám, že vyjadřuje negativně definovaný závazek. V tomto ustanovení se totiž uvádí, že „[v] souvislosti s plněním svých úkolů není [pověřenec pro ochranu osobních údajů] správcem nebo zpracovatelem propuštěn ani sankcionován“(12).

24. Uvedené ustanovení tak určuje rozsah ochrany pověřence pro ochranu osobních údajů. Pověřenec je zaprvé chráněn před jakýmkoliv rozhodnutím, kterým by byl ukončen výkon jeho funkce nebo které by mu způsobilo újmu, v případě, že by zadruhé takové rozhodnutí souviselo s plněním jeho úkolů.

25. Pokud jde o rozlišení mezi opatřením spočívajícím v propuštění pověřence pro ochranu osobních údajů a opatřením, které ho sankcionuje, poukazuji zaprvé na to, že nařízení 2016/679 tato opatření explicitně ani implicitně nedefinuje(13).

26. Na základě srovnání s jinými jazykovými verzemi lze mít za to, že v čl. 38 odst. 3 druhé větě nařízení 2016/679 jsou upraveny dva druhy opatření, a sice opatření ukončující výkon funkce pověřence pro ochranu osobních údajů a dále opatření, která představují sankci nebo způsobují pověřenci újmu, a to bez ohledu na jejich rámec. Pod tyto definice tak lze podřadit výpovědi, kterými zaměstnavatel ukončuje pracovní poměr(14).

27. Jaký přesný význam unijní normotvůrce zamýšlel dát pojmu „propuštěn“, nelze z legislativního vývoje článku 38 nařízení 2016/679, který jsem měl k dispozici, zjistit, a to s ohledem na chybějící podrobnější informace. Je možné konstatovat pouze tolik, že k doplnění textu týkajícího se propuštění došlo v pokročilé fázi legislativního procesu(15), během kterého byla současně za slovy „Správce a zpracovatel zajistí, aby pověřenec pro ochranu osobních údajů“ vypuštěna část věty „mohl při plnění svých úkolů jednat nezávisle“(16). Z toho lze usoudit, že unijní normotvůrce chtěl konkretizovat povinnost ukládající, aby pověřenec pro ochranu osobních údajů nebyl v souvislosti s plněním svých úkolů propuštěn.

28. Dále poukazuji na to, že unijní normotvůrce se rozhodl beze změny převzít znění čl. 38 odst. 3 věty druhé nařízení 2016/679 do čl. 44 odst. 3 věty druhé nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES(17). Z dokumentů týkajících se přípravy nařízení 2018/1725 nelze ovšem dovodit žádné upřesnění, což je podle mého názoru dáno tím, že do čl. 44 odst. 8 byla doplněna jiná podstatná záruka týkající se pověřence pro ochranu osobních údajů, a sice že „[p]řestane-li splňovat podmínky požadované pro výkon své funkce, může jej z funkce pověřence pro ochranu osobních údajů odvolat orgán nebo subjekt Unie, který ho jmenoval, a to pouze se souhlasem evropského inspektora ochrany údajů“.

29. Zadruhé podotýkám, že čl. 38 odst. 3 druhá věta nařízení 2016/679 nerozlišuje podle toho, zda pověřenec je, či není pracovníkem správce či zpracovatele(18). Součástí tohoto nařízení totiž není ustanovení, které by upravovalo vzájemnou podmíněnost mezi rozhodnutími, která by přijal zaměstnavatel v rámci pracovního poměru, a rozhodnutími souvisejícími s výkonem funkce tohoto pověřence. Jediným stanoveným omezením je důvod, pro který nemůže být pověřenec pro ochranu osobních údajů propuštěn, a tím je jakýkoli důvod vycházející z plnění jeho úkolů.

30. Co se týče cíle sledovaného unijním normotvůrcem, tento cíl odůvodňuje obecnou formulaci čl. 38 odst. 3 druhé věty nařízení 2016/679, jakož i toto zvolené omezení.

31. V návrhu odůvodnění Rady se upřesňuje, že jmenování pověřence pro ochranu osobních údajů má přispět k dodržování nařízení 2016/679(19). Z toho důvodu čl. 38 odst. 3 druhá věta tohoto nařízení zakotvuje povinnosti způsobilé nezávislost pověřence zaručit. Tentýž článek tak stanoví, že pověřenec pro ochranu osobních údajů nesmí dostávat žádné pokyny týkající se výkonu svých úkolů a musí být přímo podřízen vrcholovým řídícím pracovníkům správce nebo zpracovatele(20). Pověřenec je také vázán profesním tajemstvím nebo důvěrností(21).

32. Důraz je tak kladen na striktní pravidla výkonu funkce pověřence, která jsou namístě obzvláště v případě, že je tento pověřenec jmenován správcem, který je jeho zaměstnavatelem. Zákaz uvedený v čl. 38 odst. 3 druhé větě nařízení 2016/679 je tudíž garancí výsad, kterých požívá pověřenec v souvislosti s plněním svých úkolů a které mohou být v některých případech obtížně slučitelné s úkoly stanovenými zaměstnavatelem v rámci pracovního poměru.

33. Závěr v tom smyslu, že toto ustanovení má pouze za cíl zajistit, aby pověřenec pro ochranu osobních údajů svou funkci vykonával zcela nezávisle, je podpořen okolnostmi, za nichž bylo toto ustanovení přijato.

34. V tomto ohledu je třeba zdůraznit, že cílem nařízení 2016/679 v souladu s jeho článkem 1 je stanovit pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu těchto údajů. Nařízení tak bylo přijato na základě čl. 16 odst. 2 SFEU(22), a lze mít tedy za to, jak jsem vysvětlil ve svých předchozích stanoviscích, že ačkoli má ochrana osobních údajů průřezovou povahu, harmonizace provedená tímto nařízením je omezena pouze na ta hlediska, jichž se v dané oblasti toto nařízení týká(23).

35. S ohledem na všechny tyto důvody není podle mého názoru pochyb o tom, že specifická ochrana pověřence pro ochranu osobních údajů podle čl. 38 odst. 3 druhé věty nařízení 2016/679 úzce souvisí s cílem tohoto nařízení, neboť posiluje autonomii pověřence. Nespadá tedy do širší oblasti ochrany pracovníků(24).

36. Z toho důvodu znovu vyvstává otázka, zda nad rámec aspektů výslovně upravených nařízením 2016/679 mohou členské státy tuto oblast volně právně upravovat, za předpokladu, že nenaruší obsah ani cíle tohoto nařízení(25).

2. K možnosti členských států rozšířit záruky, které čl. 38 odst. 3 druhá věta nařízení 2016/679 stanoví ve prospěch pověřence pro ochranu osobních údajů

37. Z mého pohledu cíl nařízení 2016/679 vyjádřený v bodě 13 jeho odůvodnění, který unijní normotvůrce provádí tím, že v čl. 38 odst. 3 druhé větě nařízení zakotvuje obecně formulovanou záruku nezávislosti pověřence pro ochranu osobních údajů, vede k tomu(26), že členský stát musí mít možnost přijmout jakékoliv další opatření k posílení autonomie tohoto pověřence při plnění jeho úkolů.

38. Takový závěr není v rozporu s účinky nařízení, jak jsou definovány v čl. 288 druhém pododstavci SFEU, ani z toho vyplývající povinností členských států neodchylovat se od nařízení, závazného v celém rozsahu a přímo použitelného, či se zdržet jeho doplnění, ledaže ustanovení tohoto nařízení přiznávají členským státům rozhodovací prostor, jejž členské státy musí či případně mohou využívat za podmínek a v mezích stanovených týmiž ustanoveními(27).

39. Proto musím zopakovat svůj názor, podle kterého se rozsah harmonizace provedené nařízením 2016/679 liší podle toho, o jaká ustanovení se jedná. Určení normativní působnosti tohoto nařízení tedy vyžaduje, aby byl proveden přezkum případ od případu(28).

40. V tomto ohledu poukazuji na to, že čl. 38 odst. 3 druhá věta nařízení 2016/679 upravuje propuštění pověřence pro ochranu osobních údajů pouze v rozsahu, v němž souvisí s plněním jeho úkolů, ohledně nichž se má za to, že jsou plněny řádně(29), a činí tak ve formě zákazu, aniž by byla stanovena míra závažnosti uplatňovaného důvodu a řešeny jednotlivé aspekty vztahu podřízenosti pověřence vůči zaměstnavateli, které by mohly mít na jeho jmenování vliv. Nebyla tak vzata do úvahy například délka trvání pracovní smlouvy, osobní či ekonomický důvod jejího ukončení, které může být případně předmětem dohody, či přerušení pracovního poměru z důvodu nemoci, zvyšování kvalifikace, dovolené či dlouhodobé nepřítomnosti.

41. Záměr unijního normotvůrce ponechat na odpovědnosti členských států, aby doplnily ustanovení na ochranu nezávislosti pověřence pro ochranu osobních údajů na základě minimálního legislativního rámce týkajícího se plnění jeho úkolů, definovaného v souladu s cíli nařízení 2016/679, se dále projevuje i v tom, že nařízení neobsahuje pravidla ohledně doby trvání funkce tohoto pověřence, a to na rozdíl od čl. 44 odst. 8 první věty nařízení 2018/1725(30), ani pravidla týkající se, jako v projednávané věci, reorganizace podniku, jejímž důsledkem je přenesení výkonu funkce pověřence na externí subjekt, a to z důvodů nesouvisejících s plněním jeho úkolů.

42. Členské státy se tak mohou rozhodnout pro posílení nezávislosti pověřence v rozsahu, ve kterém se tento podílí na provádění cílů nařízení 2016/679, a to především v oblasti propouštění, jelikož neexistuje jakékoliv ustanovení unijního práva, které by mohlo sloužit jako základ pro zvláštní a konkrétní ochranu tohoto pověřence proti propuštění z důvodu, který nesouvisí s plněním jeho úkolů, přičemž ukončení pracovního poměru má nutně za následek ukončení tohoto plnění.

43. V tomto ohledu je třeba připomenout, že v oblasti ochrany zaměstnanců při skončení pracovního poměru čl. 153 odst. 1 písm. d) SFEU upřesňuje, že Unie podporuje a doplňuje činnost členských států a že, v obecnější rovině, v oblasti sociální politiky Unie podle čl. 4 odst. 2 písm. b) SFEU sdílí, pokud jde o hlediska vymezená v této smlouvě, pravomoc s členskými státy ve smyslu čl. 2 odst. 2 SFEU.

44. Za těchto podmínek může každý členský stát přijmout zvláštní ustanovení ohledně propouštění pověřence pro ochranu osobních údajů, a to za předpokladu, že tato ustanovení budou slučitelná s režimem jeho ochrany stanoveným nařízením 2016/679(31).

45. Jak vyplývá z právních úprav členských států, s nimiž jsem měl možnost se ve stručnosti seznámit(32), většina členských států zvláštní ustanovení týkající se propuštění pověřence nepřijala, a omezila se tak na zákaz stanovený v přímo použitelném ustanovení čl. 38 odst. 3 druhé věty nařízení 2016/679(33).

46. Jiné členské státy se nicméně rozhodly tento článek doplnit(34).

47. V tomto ohledu poznamenávám, že pracovní skupina pro článek 29 uvedla, že „[v] rámci běžných pravidel řízení a tak, jak by tomu bylo podle použitelného vnitrostátního smluvního, pracovního a trestního práva v případě jakéhokoliv jiného zaměstnance nebo smluvní strany, na kterého se toto právo vztahuje, může být pověřenec pro ochranu osobních údajů stále oprávněně propuštěn z jiných důvodů, než je provádění jeho úkolů jako pověřence pro ochranu osobních údajů (například v případě krádeže, fyzického, psychického nebo sexuálního obtěžování nebo podobného hrubého pochybení)“(35).

48. Ať se členské státy rozhodly tak či onak, mám za to, že v každém ze zvolených řešení pomáhá zaručit nezávislost pověřence pro ochranu osobních údajů i správní nebo soudní orgán, kterému je v těchto státech svěřen přezkum legality důvodu, pro který byl pověřenec pro ochranu osobních údajů propuštěn.

49. Jelikož je totiž vysoce pravděpodobné, že z rozhodnutí o propuštění nebude výslovně zjevná souvislost s uspokojivým plněním úkolů pověřence(36), přichází do úvahy ochrana založená na postavení pověřence jako takovém. V projednávané věci z vysvětlení poskytnutých předkládajícím soudem vyplývá, že k závěru, že pověřence pro ochranu osobních údajů nelze propustit v případě restrukturalizace, vede, v zájmu větší ochrany, pojem „závažný důvod“, tak jak je vykládán v německém právu(37). Ve stejném duchu by ostatně bylo možné mít za to, že má-li podnik, který je povinen jmenovat pověřence pro ochranu osobních údajů a zvolil si za něj jednoho ze svých zaměstnanců, ekonomické problémy, měly by být úkoly pověřence, s ohledem na cíl nařízení 2016/679 a podíl pověřence na jeho naplňování, nadále vykonávány, dokud činnost zaměstnavatele trvá.

50. Zákaz vyjádřený v čl. 38 odst. 3 druhé větě nařízení 2016/679 má ovšem svoje meze v případě, že při plnění úkolů pověřence pro ochranu osobních údajů objektivně dochází k porušování jeho povinností. Tyto meze musí být stanoveny v souladu s cílem sledovaným tímto nařízením(38).

51. V souladu s cílem nařízení 2016/679 tak musí být podle mého názoru i výklad, který připouští, že pověřence pro ochranu osobních údajů lze propustit, pokud již nevykazuje takové profesní kvality nezbytné pro plnění úkolů pověřence, například těch, které jsou uvedeny v čl. 37 odst. 5 tohoto nařízení, nebo neplní povinnosti stanovené v čl. 38 odst. 3 první a třetí větě, jakož i v čl. 38 odst. 5 a 6 uvedeného nařízení(39) nebo také, pokud se úroveň jeho odborných znalostí ukáže být nedostatečná(40).

52. Mám tudíž za to, že čl. 38 odst. 3 druhá věta nařízení 2016/679 musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která stanoví, že zaměstnavatel pověřence pro ochranu osobních údajů může s tímto pověřencem rozvázat pracovní poměr pouze ze závažného důvodu, a to i když rozvázání pracovního poměru nesouvisí s plněním úkolů takového pověřence.

53. Pokud by se ovšem Soudní dvůr s tímto názorem neztotožnil a rozhodl se na první otázku předkládajícího soudu odpovědět kladně, bylo by třeba odpovědět na zbylé dvě předběžné otázky.

B. Ke druhé předběžné otázce

54. V rámci druhé předběžné otázky se předkládající soud dotazuje na to, zda čl. 38 odst. 3 druhá věta nařízení 2016/679 brání vnitrostátní právní úpravě, která prohlašuje propuštění pověřence pro ochranu osobních údajů zaměstnavatelem bez závažného důvodu za nepřípustné, i když toto nesouvisí s plněním úkolů pověřence, v případě, že jmenování pověřence pro ochranu osobních údajů není povinné podle čl. 37 odst. 1 tohoto nařízení, nýbrž pouze podle vnitrostátního práva, jak to stanoví čl. 37 odst. 4 uvedeného nařízení.

55. Konstatuji, že čl. 38 odst. 3 nařízení 2016/679 ani jiná ustanovení oddílu 4 tohoto nařízení, který se týká pověřence pro ochranu osobních údajů, nerozlišuje mezi povinným a fakultativním jmenováním pověřence.

56. Z toho důvodu se domnívám, že je třeba předkládajícímu soudu odpovědět, že se čl. 38 odst. 3 druhá věta nařízení 2016/679 použije, aniž by bylo namístě rozlišovat, zda pověřenec pro ochranu osobních údajů je povinně jmenován podle unijního, nebo vnitrostátního práva.

C. Ke třetí předběžné otázce

57. V rámci třetí předběžné otázky se předkládající soud dotazuje na platnost čl. 38 odst. 3 druhé věty nařízení 2016/679, konkrétně na to, zda toto ustanovení spočívá na dostatečném právním základě, a to zejména v rozsahu, v jakém se vztahuje na pověřence pro ochranu osobních údajů, kteří jsou ke správci vázaní pracovní smlouvou.

58. Navrhuji, aby Soudní dvůr vyslovil závěr, že čl. 38 odst. 3 druhá věta nařízení 2016/679 spočívá na dostatečném právním základě, neboť jeho výlučným cílem je chránit pověřence před jakýmikoliv zásahy do plnění jeho úkolů a jelikož tato záruka, bez ohledu na existenci pracovního poměru, přispívá k účinnému naplňování cílů tohoto nařízení.

59. Zaprvé, jak jsem vysvětlil v rámci posouzení první předběžné otázky(41), článek 16 SFEU představuje právní základ uvedeného nařízení. Soudní dvůr kromě toho rozhodl, že toto ustanovení představuje, aniž je dotčen článek 39 SEU, náležitý právní základ, je-li ochrana osobních údajů jedním z hlavních účelů nebo jednou z hlavních složek pravidel přijímaných unijním normotvůrcem(42).

60. Zadruhé jedna z těchto podmínek je, co se týče úlohy pověřence pro ochranu osobních údajů a rámce, do kterého je v souladu s nařízením 2016/679 zasazena, podle mého názoru bezezbytku splněna. Záruka funkční nezávislosti pověřence, která má naplnit požadavek na vysokou úroveň zajištění dodržování základních práv osob dotčených zpracováním osobních údajů(43), se promítla do čl. 38 odst. 3 druhé věty tohoto nařízení v podobě zákazu ukončit funkci pověřence z důvodů souvisejících s jeho úkoly. Vzhledem k tomu, že toto ustanovení nevyžaduje žádnou harmonizaci v oblasti pracovního práva, unijní normotvůrce nepřekročil normativní pravomoci, které mu byly svěřeny v čl. 16 odst. 2 SFEU.

61. Co se týče dodržení zásad subsidiarity a proporcionality, na které se předkládající soud rovněž dotazuje, předně uvádím, že zintenzivnění přeshraničního zpracování osobních údajů odůvodňuje, aby jejich ochrana z hlediska základních práv byla prováděna na unijní úrovni(44), a to zejména stanovením výsad pověřence pro ochranu osobních údajů považovaného za „klíčového aktéra “ této ochrany(45). Dále si nemyslím, že by čl. 38 odst. 3 druhá věta nařízení 2016/679 šel nad rámec toho, co je pro zaručení funkční nezávislosti tohoto pověřence nezbytné. Je pravda, že záruka spočívající v tom, že nedojde k propuštění pověřence, upravená tímto ustanovením, má nutně dopad na pracovní poměr. Tento dopad je nicméně omezen na zachování užitečného účinku postavení pověřence pro ochranu osobních údajů.

62. Předkládajícímu soudu je proto dle mého názoru třeba odpovědět, že posouzení třetí předběžné otázky neodhalilo žádnou skutečnost, kterou by mohla být dotčena platnost čl. 38 odst. 3 druhé věty nařízení 2016/679.

V. Závěry

63. S ohledem na výše uvedené úvahy navrhuji, aby Soudní dvůr odpověděl na předběžné otázky Bundesarbeitsgericht (Spolkový pracovní soud, Německo) následovně:

– Článek 38 odst. 3 druhou větu nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která stanoví, že zaměstnavatel pověřence pro ochranu osobních údajů může s tímto pověřencem rozvázat pracovní poměr pouze ze závažného důvodu, a to i když rozvázání pracovního poměru nesouvisí s plněním úkolů takového pověřence.

Podpůrně, pro případ, že by Soudní dvůr na první otázku odpověděl kladně:

– Článek 38 odst. 3 druhá věta nařízení 2016/679 se použije, aniž by bylo namístě rozlišovat, zda pověřenec pro ochranu osobních údajů je povinně jmenován podle unijního, nebo vnitrostátního práva.

– Posouzení třetí předběžné otázky neodhalilo žádnou skutečnost, kterou by mohla být dotčena platnost čl. 38 odst. 3 druhé věty nařízení 2016/679.

1– Původní jazyk: francouzština.

2– Úř. věst. 2016, L 119, s. 1, ve znění opravy v Úř. věst. 2018, L 127, s. 2.

3– BGBl. 1990 I, s. 2954.

4– BGBl. 2017 I, s. 2097, dále jen „BDSG“.

5– V § 38 odst. 1 první větě BDSG ve znění účinném od 26. listopadu 2019 byl počet zaměstnanců zvýšen na „20“.

6– BGBl. 2002 I, s. 42, oprava s. 2909, a BGBl. 2003 I, s. 738.

7– Předkládající soud dále uvedl, že skutečnost, že z důvodu organizační změny bude ochrana osobních údajů v rámci společnosti nadále zajištěna externím pověřencem pro ochranu osobních údajů, není v souladu s jeho judikaturou závažným důvodem pro rozvázání pracovního poměru [viz rozsudek Bundesarbeitsgericht (Spolkový pracovní soud) sp. zn. 10 AZR 562/09 ze dne 23. března 2011, bod 18, dostupný na následující internetové adrese: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/].

8– Článek 37 tohoto nařízení.

9– Článek 38 tohoto nařízení.

10– Článek 39 tohoto nařízení.

11– Viz zejména rozsudek ze dne 12. května 2021, Bundesrepublik Deutschland [Red notice (červené oznámení) Interpolu] (C‑505/19, EU:C:2021:376, bod 77).

12– Kurzivou zvýraznil autor tohoto stanoviska.

13– V tomto ohledu v dokumentu s názvem „Pokyny týkající se pověřenců pro ochranu osobních údajů“ (dále jen „pokyny týkající se pověřenců“), přijatém dne 13. prosince 2016 a revidovaném dne 5. dubna 2017, který je dostupný na internetové stránce: https://ec.europa.eu/newsroom/article29/items/612048/en, pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů zřízená článkem 29 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355) (dále jen „pracovní skupina pro článek 29“) upřesnila, že „[s]ankce mohou mít řadu podob a mohou být přímé nebo nepřímé. Mohou například spočívat v absenci nebo odložení povýšení, v bránění kariérnímu postupu nebo v odepírání výhod, kterých se dostává jiným zaměstnancům. Není nutné, aby tyto sankce byly skutečně uplatněny, postačí i hrozba jejich použitím, je-li použita za účelem penalizace pověřence pro ochranu osobních údajů z důvodů týkajících se jeho činností pověřence“ (s. 18 a 19). Poté, co vstoupilo v platnost nařízení 2016/679, nahradil tuto pracovní skupinu Evropský sbor pro ochranu osobních údajů (EDPB). Ten schválil pokyny týkající se pověřenců na svém prvním plenárním shromáždění dne 25. května 2018 (viz https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).

14– Jak zdůrazňuje LH, vedle německé jazykové verze čl. 38 odst. 3 druhé věty nařízení 2016/679 („abberufen“) i jiné jazykové verze, například španělská („destituido“), francouzská („relevé“) či portugalská („destituído“), jasně naznačují, že toto nařízení upravuje ukončení výkonu funkce pověřence pro ochranu osobních údajů, a nikoliv „pracovního poměru“ („kündigen“ v němčině). Viz také jazyková verze anglická („dismissed“), italská („rimosso“), polská („odwoływany“) a rumunská („demis“).

15– Viz sdělení předsednictví Rady Evropské unie ze dne 3. října 2014 ve věci návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) [první čtení] – kapitola IV, dostupná na následující internetové adrese: https://data.consilium.europa.eu/doc/document/ST13772-2014-INIT/fr/pdf, týkající se doplnění čl. 36 odst. 3 tohoto návrhu o pravidlo, podle kterého pověřenec pro ochranu osobních údajů nesmí být v souvislosti s plněním svých úkolů sankcionován (s. 34). Viz také postoj Rady v prvním čtení k přijetí nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ze dne 6. dubna 2016, dostupný na následující internetové adrese: https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, kterým bylo přijato současné znění článku 38 nařízení 2016/679.

16– Výraz „nezávislým způsobem“ je uveden v poslední větě bodu 97 odůvodnění nařízení 2016/679.

17– Úř. věst. 2018, L 295, s. 39.

18– Viz čl. 37 odst. 6 nařízení 2016/679.

19– Viz postoj Rady v prvním čtení za účelem přijetí nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně údajů) – návrh odůvodnění Rady, ze dne 31. března 2016, dostupný na následující internetové adrese: https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (s. 22). K prvořadé úloze pověřence pro ochranu osobních údajů při uplatňování nařízení 2016/679 viz bod 97 odůvodnění tohoto nařízení, jakož i úkoly pověřence definované v článku 39 uvedeného nařízení. V tomto ohledu pracovní skupina pro článek 29 v Pokynech týkajících se pověřenců pro ochranu osobních údajů připomněla, že před přijetím nařízení 2016/679 měla za to, že pověřenec pro ochranu osobních údajů je „základním kamenem odpovědnosti a že jmenování pověřence pro ochranu osobních údajů může podpořit dodržování předpisů“ (s. 5). Tato pracovní skupina dále uvedla, že uznává pověřence pro ochranu osobních údajů „jako klíčového aktéra v rámci nového systému správy údajů“ (s. 6). Pokud jde o příklad informací, které může správce nebo jeho zpracovatel potřebovat a které by měl pověřenec pro ochranu osobních údajů zajistit, viz rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 134).

20– Viz čl. 38 odst. 3 první a třetí věta nařízení 2016/679.

21– Viz čl. 38 odst. 5 nařízení 2016/679.

22– Viz preambule a bod 12 odůvodnění nařízení 2016/679, jakož i rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19, EU:C:2021:483, bod 44).

23– Viz mé stanovisko ve věci Facebook Ireland (C‑319/20, EU:C:2021:979, bod 51).

24– V tomto kontextu mám za to, že z ustanovení čl. 88 odst. 1 uvedeného nařízení nelze dovodit argument podporující závěr, že tato ustanovení jsou otevřenými ustanoveními.

25– Viz mé stanovisko ve věci Facebook Ireland (C‑319/20, EU:C:2021:979, bod 51).

26– Viz bod 31 tohoto stanoviska.

27– Viz mé stanovisko ve věci Facebook Ireland (C‑319/20, EU:C:2021:979, bod 52).

28– Viz mé stanovisko ve věci Facebook Ireland (C‑319/20, EU:C:2021:979, bod 52). Mimoto jsem již v bodě 55 uvedeného stanoviska upozornil Soudní dvůr na to, že nařízení 2016/679 obsahuje řadu otevřených ustanovení, kterými výslovně přenáší normativní pravomoc na členské státy, což jej odlišuje od tradičního nařízení a přibližuje jej směrnici.

29– V tomto ohledu, jak zdůrazňuje Bielak-Jomaa, E., „Artykuł 38. Status inspektora ochrony danych“, v Bielak-Jomaa, E., a Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varšava, 2018, s. 794 až 806, zejména bod 5 čtvrtý odstavec, pracovní skupina pro článek 29 neuvedla žádné užitečné kritérium pro určení, zda se jedná o řádné plnění úkolů pověřencem pro ochranu osobních údajů, či nikoliv. Dále také, Foret, O., „Le rôle du DPO“, v Bensamoun, A., a Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paříž, 2020, s. 233 až 239, zejména s. 235 a 236, uvádí, že „Evropský sbor pro ochranu osobních údajů ve svých pokynech upřesňuje, že […] ‚[pro účely jmenování pověřencem pro ochranu osobních údajů] požadovaná úroveň odborných znalostí není přesně definována, musí [však] odpovídat citlivosti, složitosti a množství údajů, které daný subjekt zpracovává‘ “[viz pokyny týkající se pověřenců (s. 13)]. Viz také s. 14 těchto pokynů. Dále viz body 50 a 51 tohoto stanoviska.

30– Viz Bergt, M., „Art 38. Stellung des Datenschutzbeauftragten“, v Kühling, J., a Buchner, B., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. vydání, C. H. Beck, Mnichov, 2020, zejména bod 29. Uvedený autor zdůrazňuje, že „[n]a rozdíl od návrhů Komise a Parlamentu článek 38 neupravuje minimální dobu trvání funkce, na niž musí být pověřenec pro ochranu osobních údajů jmenován“ (volný překlad).

31– Viz body 31 a 32 tohoto stanoviska. Lze doplnit, že unijní normotvůrce zvolil toto řešení záměrně a v rámci legislativních prací na nařízení 2016/679 nepřevzal návrh Hospodářského a sociálního výboru v tom smyslu, aby byly dále upřesněny „podmínky spojené s […] funkcí [pověřence pro ochranu osobních údajů], zejména ochran[a] proti propuštění, která by byla jasně definovaná a časově by přesahovala období, po něž dotyčná osoba vykonává tuto funkci“: viz bod 4.11.1 stanoviska Evropského hospodářského a sociálního výboru k návrhu nařízení Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováváním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně údajů) (Úř. věst. 2012, C 229, s. 90).

32– Viz zejména informace dostupné na následujících odkazech: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= a https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.

33– To je případ Dánského království, Irska, Chorvatské republiky, Italské republiky, Kyperské republiky, Maltské republiky, Nizozemského království, Rakouské republiky, Polské republiky, Portugalské republiky, Rumunska a Finské republiky. V Chorvatské, Maltské a Polské, jakož i v Bulharské republice musí být odvolání nebo výměna pověřence oznámena národnímu úřadu pro oblast ochrany osobních údajů. V některých členských státech, jako je Francouzská republika a Lucemburské velkovévodství, bylo upřesněno, že pověřenec pro ochranu osobních údajů nemá postavení chráněného zaměstnance, které by poskytovalo dodatečnou záruku k záruce stanovené nařízením 2016/679.

34– Ohledně belgického práva viz čl. 6 třetí pododstavec arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données, du 6 décembre 2015 (královské nařízení o poradcích v oblasti bezpečnosti a ochrany soukromí a o platformě pro bezpečnost a ochranu osobních údajů ze dne 6. prosince 2015) (Moniteur belge ze dne 28. prosince 2015, s. 79268), přijaté před vstupem nařízení 2016/679 v platnost, podle kterého „[z]aměstnavatel nebo příslušný orgán je oprávněn ukončit pracovní smlouvu s poradcem, služební poměr poradce či ho odvolat z funkce pouze z důvodů nesouvisejících s jeho nezávislostí nebo z důvodů, které prokazují jeho nezpůsobilost plnit úkoly poradce“. Kurzivou zvýraznil autor tohoto stanoviska. Viz také ve španělském právu čl. 36 odst. 2 Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (ústavní zákon č. 3/2018 o ochraně osobních údajů a záruce digitálních práv) ze dne 5. prosince 2018 (BOE č. 294 ze dne 6. prosince 2018, s. 119788), podle kterého „[v] případě, že je v rámci organizace zpracovatele nebo správce pověřencem pro ochranu osobních údajů fyzická osoba, nelze ji v souvislosti plněním jejích úkolů odvolat ani sankcionovat, leda by se jednalo o úmyslné zavinění nebo hrubou nedbalost“. Kurzivou zvýraznil autor tohoto stanoviska.

35– Viz pokyny týkající se pověřenců (s. 19). Kurzivou zvýraznil autor tohoto stanoviska.

36– V tomto smyslu viz Fajgielski, P., „Artykuł 38. Status inspektora ochrony danych“, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varšava, 2018, s. 430 až 437, zejména bod 5 pátý odstavec. Viz také Kremer, S., „§ 6 Datenschutzbeauftragter“, v Laue, Nink, J. a Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, 2. vydání, Nomos, Baden-Baden, 2019, zejména bod 36, a Bergt, M., „Art 38. Stellung des Datenschutzbeauftragten“, op. cit., zejména bod 30, jakož i Bussche, A., „Art. 38 DSGVO“, v Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3. vydání, Otto Schmidt, Kolín nad Rýnem, 2018, zejména bod 19.

37– Viz poznámka pod čarou 7 tohoto stanoviska.

38– Viz body 31, 60 a 61 tohoto stanoviska.

39– Viz bod 31 tohoto stanoviska. Viz také v současné době probíhající věci X-FAB Dresden (C‑453/21) a KISA (C‑560/21), ve kterých byly Soudnímu dvoru dvěma různými senáty Bundesarbeitsgericht (Spolkový pracovní soud) předloženy shodné předběžné otázky, avšak v případech propuštění z důvodu střetu zájmů. V první z uvedených věcí je navíc položena otázka týkající se kritérií takového střetu.

40– V tomto smyslu viz Kremer, S., „§ 6 Datenschutzbeauftragter“, op. cit., zejména bod 35, jakož i Bussche, A., „Art. 38 DSGVO“, op. cit., zejména bod 17.

41– Viz bod 34 tohoto stanoviska.

42– Posudek 1/15 (Dohoda PNR EU-Kanada) ze dne 26. července 2017 (EU:C:2017:592, bod 96).

43– Viz rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19, EU:C:2021:483, body 44, 45 a 91).

44– V tomto smyslu viz rozsudek ze dne 15. června 2021, Facebook Ireland a další (C‑645/19, EU:C:2021:483, bod 45 a, obdobně, bod 47).

45– Viz poznámka pod čarou 19 čtvrtá věta tohoto stanoviska.