Language of document : ECLI:EU:C:2022:62

JEAN RICHARD DE LA TOUR

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2022. január 27.(1)

C534/20. sz. ügy

Leistritz AG

kontra

LH

(a Bundesarbeitsgericht [szövetségi munkaügyi bíróság, Németország] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – Az (EU) 2016/679 rendelet – A 38. cikk (3) bekezdésének második mondata – Adatvédelmi tisztviselő – A feladatok ellátásával összefüggésben történő elbocsátás tilalma – Jogalap – EUMSZ 16. cikk – Érvényesség – A funkcionális függetlenség követelménye – A harmonizáció terjedelme – Az adatvédelmi tisztviselő alapos ok nélküli elbocsátását tiltó nemzeti szabályozás – A nemzeti jog alapján kötelezően kijelölt adatvédelmi tisztviselő”






I.      Bevezetés

1.        A Bundesarbeitsgericht (szövetségi munkaügyi bíróság, Németország) által benyújtott előzetes döntéshozatal iránti kérelem a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet)(2) 38. cikke (3) bekezdése második mondatának értelmezésére és érvényességére vonatkozik.

2.        E kérelmet LH és munkáltatója, a Leistritz AG közötti, LH munkaviszonyának átszervezés miatti megszüntetése tárgyában folyamatban lévő jogvita keretében terjesztették elő, mivel az alkalmazandó német jog szerint LH elbocsátására adatvédelmi tisztviselői kijelölése miatt kizárólag alapos okból kerülhet sor a felmondási idő betartása nélkül.

3.        A jelen indítványban kifejtem azokat az okokat, amelyek miatt úgy vélem, hogy az adatvédelmi tisztviselő elbocsátásának a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatában előírt tilalma nem a munkajog anyagi szabályainak harmonizációjából következik, ami lehetőséget ad a tagállamoknak arra, hogy a rendelet által követett célkitűzéssel összhangban különböző területekre vonatkozó nemzeti szabályozásaikban megerősítsék az adatvédelmi tisztviselő védelmét.

II.    Jogi háttér

A.      A 2016/679 rendelet

4.        A 2016/679 rendelet (10), (13) és (97) preambulumbekezdése kimondja:

„(10)      A természetes személyek következetes és magas szintű védelmének biztosítása és a személyes adatok [Európai] Unión belüli áramlása előtti akadályok elhárítása érdekében a természetes személyeknek az ilyen adatok kezelésével összefüggésben fennálló jogait és szabadságait minden tagállamban azonos szintű védelemben kell részesíteni. A természetes személyeknek a személyes adataik kezeléséhez kapcsolódó alapvető jogai és szabadságai védelmére vonatkozó szabályok következetes és egységes alkalmazását az Unió egész területén biztosítani kell […]

[…]

(13)      A természetes személyek egységes, uniós‑szintű védelmének biztosítása, valamint a személyes adatok belső piacon való szabad áramlását akadályozó eltérések megelőzése érdekében rendelettel kell biztosítani a jogbiztonságot és az áttekinthetőséget valamennyi tagállam gazdasági szereplői részére – beleértve a mikro‑, kis‑ és középvállalkozásokat is –, továbbá rendelettel kell biztosítani a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést […]

[…]

(97)      […] Az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak‑e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása.”

5.        E rendelet „Tárgy” című 1. cikkének (1) bekezdése a következőket mondja ki:

„Ez a rendelet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére és a személyes adatok szabad áramlására vonatkozó szabályokat állapít meg.”

6.        Az említett rendelet „Az adatvédelmi tisztviselő kijelölése” című 37. cikkének (1) és (4)–(6) bekezdése a következőképpen rendelkezik:

„(1)      Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

a)      az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

b)      az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c)      az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

[…]

(4)      Az (1) bekezdésben foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek adatvédelmi tisztviselőt jelölhetnek ki, vagy ha ezt uniós vagy tagállami jog írja elő, kötelesek kijelölni. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb szervezetek nevében az adatvédelmi tisztviselő eljárhat.

(5)      Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(6)      Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.”

7.        Ugyanezen rendelet „Az adatvédelmi tisztviselő jogállása” című 38. cikke a következőképpen rendelkezik:

„(1)      Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

[…]

(3)      Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

(4)      Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

(5)      Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.

(6)      Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.”

8.        A 2016/679 rendelet 39. cikke rögzíti az adatvédelmi tisztviselő fő feladatait.

B.      A német jog

9.        Az 1990. december 20‑i Bundesdatenschutzgesetz (szövetségi adatvédelmi törvény)(3) 2018. május 25. és 2019. november 25. között hatályos változatának(4) „Jogállás” című 6. §‑a (4) bekezdésében a következőképpen rendelkezik:

„Az adatvédelmi tisztviselő kizárólag a Bürgerliches Gesetzbuch (polgári törvénykönyv) 626. §‑ának megfelelő alkalmazásával bocsátható el. Az adatvédelmi tisztviselő munkaviszonyának felmondása jogellenes, kivéve, ha olyan körülmények állnak fenn, amelyek felhatalmazzák a közigazgatási szervet, hogy alapos okból, felmondási idő nélkül mondjon fel. Az adatvédelmi tisztviselői tevékenység befejezését követően a munkaviszony felmondása egy évig jogellenes, kivéve, ha a közigazgatási szerv jogosult alapos indokból, felmondási idő nélkül felmondani.”

10.      A BDSG „Nem állami szervek adatvédelmi tisztviselői” című 38. §‑a előírja:

„(1)      A […] 2016/679 rendelet 37. cikke (1) bekezdésének b) és c) pontjában foglaltakon túl az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki, ha a személyes adatok automatizált módon történő kezeléséhez rendszerint legalább tíz személyt[(5)] folyamatosan foglalkoztat […]

(2)      A 6. § (4) bekezdését, (5) bekezdésének második mondatát és (6) bekezdését alkalmazni kell, a 6. § (4) bekezdését azonban csak akkor, ha az adatvédelmi tisztviselő kijelölése kötelező.”

11.      A polgári törvénykönyv 2002. január 2‑án kihirdetett változatának(6) „Törvényi tilalom” című 134. §‑a a következőképpen szól:

„A törvényi tilalomba ütköző jogügylet törvény eltérő rendelkezése hiányában semmis.”

12.      E törvénykönyv „Alapos okból történő, azonnali hatályú felmondás” című 626. §‑a előírja:

„(1)      A munkaviszonyt bármelyik szerződő fél alapos okból felmondási idő nélkül felmondhatja, ha olyan körülmények állnak fenn, amelyek alapján az ügy körülményeire tekintettel, a felek érdekeit mérlegelve nem várható el a szolgálati viszonyt felmondó féltől, hogy a szolgálati viszonyt a felmondási idő lejártáig, illetve a szolgálati viszony megállapodás szerinti megszüntetéséig fenntartsa.

(2)      A felmondásra kizárólag két héten belül kerülhet sor. A határidő azon a napon kezdődik, amelyen a felmondásra jogosult fél tudomást szerez a felmondást megalapozó tényekről […]”

III. Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

13.      A Leistritz egy magánjogi vállalkozás, amely a német jogszabályok alapján köteles adatvédelmi tisztviselőt kijelölni. LH 2018. január 15. óta jogi csoportvezetőként dolgozott a vállalkozásnál, illetve 2018. február 1‑jei hatállyal a vállalkozás adatvédelmi tisztviselőjének jelölték ki.

14.      A Leistritz 2018. július 13‑i levelével 2018. augusztus 15‑i hatállyal rendes felmondással megszüntette LH munkaviszonyát olyan szerkezetátalakítási intézkedésre hivatkozva, amelynek keretében kiszervezték a belső jogi tanácsadási tevékenységet és az adatvédelmi osztályt.

15.      Az LH felmondás érvénytelenségére alapított keresetét elbíráló alsóbb fokú bíróságok úgy határoztak, hogy LH‑nak adatvédelmi tisztviselőként a BDSG 6. §‑a (4) bekezdésének második mondatával összefüggésben értelmezett 38. §‑ának (2) bekezdése alapján kizárólag rendkívüli felmondással, alapos okkal mondhatnak fel. Márpedig a Leistritz által ismertetett szerkezetátalakítási intézkedés nem tekinthető rendkívüli felmondás alapos okának.

16.      A kérdést előterjesztő bíróság – amelyhez a Leistritz felülvizsgálati kérelmet nyújtott be – megjegyzi, hogy a német jog alapján LH elbocsátása e rendelkezéseknek és a polgári törvénykönyv 134. §‑ának megfelelően semmis.(7) Megjegyzi azonban, hogy e rendelkezések alkalmazhatósága attól függ, hogy az uniós jog – különösen a 2016/679 rendelet 38. cikke (3) bekezdésének második mondata – alapján megengedhető‑e az olyan tagállami szabályozás, amely az adatvédelmi tisztviselő munkaviszonyának felmondását az uniós jognál szigorúbb követelményekhez köti. Ha ez nem így van, akkor a kérdést előterjesztő bíróság helyt kell, hogy adjon a felülvizsgálati kérelemnek.

17.      E körülmények között a Bundesarbeitsgericht (szövetségi munkaügyi bíróság) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      Úgy kell‑e értelmezni a [2016/679] rendelet 38. cikke (3) bekezdésének második mondatát, hogy azzal ellentétes a nemzeti jog [BDSG] 6. §‑a (4) bekezdésének második mondatával összefüggésben értelmezett 38. §‑ának (1) és (2) bekezdéséhez hasonló rendelkezése, amely az adatvédelmi tisztviselő munkaviszonyának azon adatkezelő általi rendes felmondását, aki egyben a munkáltatója is, jogellenesnek nyilvánítja függetlenül attól, hogy e felmondásra az adatvédelmi tisztviselő feladatai ellátásával összefüggésben kerül‑e sor?

2)      Az első kérdésre adott igenlő válasz esetén:

Ellentétes‑e a [2016/679 rendelet] 38. cikke (3) bekezdésének második mondatával az ilyen nemzeti jogi rendelkezés akkor is, ha az adatvédelmi tisztviselő kijelölése nem a [rendelet] 37. cikkének (1) bekezdése, hanem kizárólag a tagállam joga alapján kötelező?

3)      Az első kérdésre adott igenlő válasz esetén:

Megfelelő felhatalmazási alapon nyugszik‑e a [2016/679 rendelet] 38. cikke (3) bekezdésének második mondata, különösen amennyiben az adatkezelővel munkaviszonyban álló adatvédelmi tisztviselőkről rendelkezik?”

18.      LH, a Leistritz, a német és a román kormány, valamint az Európai Parlament, az Európai Unió Tanácsa és az Európai Bizottság terjesztett elő írásbeli észrevételeket. E felek – a német és a román kormány kivételével – ismertették szóbeli észrevételeiket a 2021. november 18‑án tartott tárgyaláson.

IV.    Elemzés

A.      Az előzetes döntéshozatalra előterjesztett első kérdésről

19.      A kérdést előterjesztő bíróság első kérdésével lényegében arra kíván választ kapni a Bíróságtól, hogy úgy kell‑e értelmezni a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatát, hogy azzal ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatvédelmi tisztviselőnek a munkáltató kizárólag alapos okból mondhat fel, akkor is, ha a felmondás nem kapcsolódik a tisztviselő feladatainak ellátásához.

20.      Az e kérdésre adandó válasz elsősorban annak pontosítását feltételezi, hogy mit takar az uniós jogalkotó által a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatában használt „feladatai ellátásával összefüggésben […] bocsáthatja el” kifejezés. Másodsorban meg kell határozni, hogy a tagállamoknak lehetőségük van‑e kiterjeszteni az adatvédelmi tisztviselőt e rendelkezés alapján megillető garanciákat.

1.      Az adatvédelmi tisztviselőnek a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatában előírt védelméről

21.      A 2016/679 rendelet 38. cikke e rendeletnek „[a]z adatkezelő és az adatfeldolgozó” című IV. fejezetében, közelebbről az „Adatvédelmi tisztviselő” című 4. szakaszban található. Ez a szakasz három cikkből áll, amelyek az adatvédelmi tisztviselő kijelölésére,(8) jogállására(9) és feladataira vonatkoznak, utóbbiak lényegében az adatkezeléssel kapcsolatos személyes tanácsadásból és az adatvédelmi szabályok betartásának ellenőrzéséből állnak.(10)

22.      A 2016/679 rendelet 38. cikke (3) bekezdése második mondatának értelmezéséhez a Bíróság állandó ítélkezési gyakorlata szerint nemcsak e rendelkezés kifejezéseit, hanem szövegkörnyezetét, és annak a szabályozásnak a célkitűzéseit is kell figyelembe venni, amelynek az részét képezi.(11)

23.      A 2016/679 rendelet 38. cikke (3) bekezdése második mondatának szövegét illetően megjegyzem, hogy az negatívan fogalmaz meg kötelezettséget. Kimondja ugyanis, hogy „[a]z adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja”.(12)

24.      Ily módon e rendelkezés meghatározza az adatvédelmi tisztviselő védelmének terjedelmét. Az adatvédelmi tisztviselő egyrészt védelemben részesül minden olyan döntéssel szemben, amellyel elbocsátanák vagy hátrányos helyzetbe hoznák, másrészt ha az ilyen döntés a feladatainak ellátásához kapcsolódna.

25.      Az adatvédelmi tisztviselő elbocsátását célzó és az adatvédelmi tisztviselőt szankcióval sújtó intézkedés közötti különbségtétel tekintetében először is megjegyzem, hogy a 2016/679 rendelet egyetlen rendelkezése sem határozza meg kifejezetten vagy hallgatólagosan ezeket az intézkedéseket.(13)

26.      Más nyelvi változatok tekintetében végzett összehasonlító vizsgálat alapján megállapítható, hogy a 2016/679 rendelet 38. cikke (3) bekezdésének második mondata kétféle intézkedést említ, nevezetesen azokat, amelyekkel elbocsátják az adatvédelmi tisztviselőt, valamint azokat, amelyek szankciókat jelentenek vagy hátrányos helyzetben hozzák a tisztviselőt, függetlenül az intézkedés jellegétől. Ezek a meghatározások ezért kiterjedhetnek azokra az elbocsátásokra is, amelyekkel a munkáltató munkaviszonyt szüntet meg.(14)

27.      A 2016/679 rendelet 38. cikkének jogalkotási történetére vonatkozó, – számomra hozzáférhető – kutatási eredmények részletes információk hiányában nem világítják meg az uniós jogalkotó pontos szándékát a „bocsáthatja el” kifejezés terjedelmét illetően. Egyedül azt lehet megállapítani, hogy a jogalkotási folyamat késői szakaszában(15) került sor az elbocsátással kapcsolatos azon szerkesztői kiegészítésre, amelynek során egyidejűleg törölték a következő tagmondatot, amely az „Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi felelős” szövegrész után következett: „feladatai ellátása tekintetében függetlenül tudjon eljárni”.(16) Ebből arra lehet következtetni, hogy a jogalkotó konkretizálni kívánta azon kötelezettséget, hogy az adatvédelmi tisztviselő feladatai ellátásával összefüggésben nem bocsáthatható el.

28.      Megjegyzem továbbá, hogy az uniós jogalkotó úgy döntött, hogy a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23‑i (EU) 2018/1725 európai parlamenti és tanácsi rendelet(17) 44. cikke (3) bekezdésének második mondatába azonos szöveggel átveszi a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatát. A 2018/1725 rendelet kidolgozásához kapcsolódó dokumentumokból azonban semmilyen pontosítást nem lehet levonni, amit véleményem szerint egy másik, az adatvédelmi tisztviselők számára biztosított alapvető garanciának a 44. cikk (8) bekezdésébe történő beiktatása indokol, nevezetesen, hogy az adatvédelmi tisztviselőt „az őt kijelölő uniós intézmény vagy szerv mentheti fel, ha az adatvédelmi tisztviselő már nem felel meg a feladatának teljesítéséhez előírt feltételeknek, és csak az európai adatvédelmi biztos hozzájárulásával”.

29.      Másodszor megjegyzem, hogy a 2016/679 rendelet 38. cikke (3) bekezdésének második mondata nem tesz különbséget aszerint, hogy az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja‑e.(18) E rendelet ugyanis nem tartalmaz olyan rendelkezést, amely a munkáltató által a munkaviszony keretében meghozandó döntések és a tisztviselő feladatkörével kapcsolatos döntések között fennálló kölcsönös függőségi viszonyra vonatkozna. Az egyetlen megszabott korlát arra az okra vonatkozik, amely miatt az adatvédelmi tisztviselő nem bocsátható el, nevezetesen a feladatainak ellátásából eredő bármely okra.

30.      Ami az uniós jogalkotó által követett célt illeti, az indokolja a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatának általános módon történő megfogalmazását, valamint e korlát megválasztását.

31.      A Tanács indokolástervezetében ugyanis szerepel, hogy adatvédelmi tisztviselő kijelölésére azért van szükség, hogy javítani lehessen a 2016/679 rendeletnek való megfelelést.(19) E rendelet 38. cikke (3) bekezdésének második mondata ezért ír elő olyan kötelezettségeket, amelyek biztosítják e tisztviselő függetlenségét. Ekként ugyanezen cikkben az szerepel, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban senkitől nem fogadhat el utasításokat, és közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.(20) Emellett titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti.(21)

32.      A hangsúly tehát az adatvédelmi tisztviselő feladatai szabályozásának szigorúságán van, ami különösen akkor indokolt, ha az adatvédelmi tisztviselőt olyan adatkezelő jelöli ki, aki a munkáltatója. Ezért a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatában foglalt tilalom az adatvédelmi tisztviselő által feladatai ellátása céljából élvezett előjogokat biztosít, amelyek bizonyos esetekben nehezen egyeztethetők össze a munkáltató által a munkaviszonnyal összefüggésben rögzítettekkel.

33.      Az elemzést, amely szerint e rendelkezés egyetlen célja az adatvédelmi tisztviselői feladatok független ellátásának megszervezése, megerősíti a szövegkörnyezet, amelyben e rendelkezést elfogadták.

34.      E tekintetben hangsúlyozni kell, hogy a 2016/679 rendelet az 1. cikke értelmében a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályok megállapítására irányul. Így azt az EUMSZ 16. cikk (2) bekezdése alapján fogadták el,(22) ami annak megállapításához vezet – amint azt korábbi indítványaimban már kifejtettem –, hogy bár a személyes adatok védelme természeténél fogva több területet érint, az e rendelet által megvalósított jogharmonizáció azokra a vonatkozásokra korlátozódik, amelyeket az említett rendelet e területen kifejezetten szabályoz.(23)

35.      Ezen okok összessége miatt véleményem szerint nem kétséges, hogy az adatvédelmi tisztviselőnek a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatában előírt különös védelme kifejezetten e rendelet céljához kapcsolódik, mivel megerősíti az adatvédelmi tisztviselő autonómiáját. Tehát nem a munkavállalók védelmének tágabb körébe tartozik.(24)

36.      Következésképpen újból felvetődik a kérdés, hogy a 2016/679 rendelet által kifejezetten szabályozott vonatkozásoktól eltekintve a tagállamok szabadon alkothatnak‑e jogszabályokat, amennyiben azok nem sértik e rendelet tartalmát és célkitűzéseit.(25)

2.      A tagállamok arra való lehetőségéről, hogy kiterjeszthessék a 2016/679 rendelet 38. cikke (3) bekezdésének második mondata által az adatvédelmi tisztviselő számára nyújtott garanciákat

37.      Véleményem szerint a 2016/679 rendelet (13) preambulumbekezdésében meghatározott célkitűzése – amely alapján az uniós jogalkotó e rendelet 38. cikke (3) bekezdésének második mondatában általánosságban biztosítja az adatvédelmi tisztviselő függetlenségét(26) – indokolja, hogy a tagállam meghozhasson minden olyan egyéb intézkedést, amely az adatvédelmi tisztviselőnek a feladatai ellátása során fennálló autonómiájának megerősítésére irányul.

38.      Ezen elemzés nem áll ellentétben a rendeletek – EUMSZ 288. cikk második bekezdésében meghatározott – hatályával, sem a tagállamok ebből eredő azon kötelezettségével, hogy ne térjenek el egy teljes egészében kötelező és közvetlenül alkalmazandó rendelettől, illetve ne egészítsék ki azt, kivéve, ha e rendelet rendelkezései mozgásteret biztosítanak a tagállamok számára, amelyet ez utóbbiak, az adott esettől függően, az e rendelkezések által biztosított feltételek és korlátok között kötelezően vagy lehetőség szerint használnak ki.(27)

39.      Következésképpen megismétlem azon véleményemet, hogy a 2016/679 rendelet által megvalósított jogharmonizáció mértéke a vizsgált rendelkezésektől függően változik. E rendelet normatív tartalmának meghatározása tehát esetről esetre történő vizsgálatot igényel.(28)

40.      E tekintetben megjegyzem, hogy a 2016/679 rendelet 38. cikke (3) bekezdésének második mondata – tilalom formájában – az adatvédelmi tisztviselő elbocsátásával foglalkozik, amennyiben az kizárólag feladatainak – feltételezetten megfelelő – ellátásához kötődik, anélkül, hogy bevezetné a hivatkozott ok súlyossági fokát vagy figyelembe venné a munkáltatóval fennálló alárendeltségi viszony különböző aspektusait, amelyek hatással lehetnek a kijelölésére.(29) Így például nem vették figyelembe a munkaszerződés időtartamát, vagy a megszüntetésének személyes vagy gazdasági okát, amelyről adott esetben lehet egyeztetni, vagy akár a munkaviszony betegség, képzés, éves vagy hosszan tartó szabadság miatti szüneteltetését sem.

41.      Ezen túlmenően az uniós jogalkotó azon szándéka, hogy a tagállamokra bízza az adatvédelmi tisztviselő függetlenségére vonatkozó védelmi rendelkezések kiegészítését az adatvédelmi tisztviselő feladatainak ellátására vonatkozó, a 2016/679 rendelet céljai szerint meghatározott minimális jogszabályi keret alapján, – a 2018/1725 rendelet 44. cikke (8) bekezdésének első mondatában előírtakkal ellentétben –(30) az adatvédelmi tisztviselő megbízatásának időtartamára, vagy – mint a jelen ügyben – egy vállalkozás – az adatvédelmi tisztviselő feladatainak az azok ellátásával nem összefüggő okokból történő kiszervezését eredményező – átszervezésével kapcsolatos esetre vonatkozó előírás hiányában is megnyilvánul.

42.      Ennek megfelelően a tagállamok – amennyiben az hozzájárul a 2016/679 rendelet célkitűzéseinek megvalósításához, dönthetnek úgy, hogy megerősítik az adatvédelmi tisztviselő függetlenségét, különösen az elbocsátás tekintetében, mivel nincs olyan uniós jogi rendelkezés, amely alapul szolgálhatna a feladatai ellátásától független okból történő felmondással szembeni különleges és konkrét védelemhez, miközben a munkaviszony megszűnése szükségszerűen a feladatok megszűnését vonja maga után.

43.      E tekintetben emlékeztetni kell arra, hogy a munkavállalók munkaviszonyuk megszüntetése esetén történő védelme területén az EUMSZ 153. cikk (1) bekezdésének d) pontja kimondja, hogy az Unió támogatja és kiegészíti a tagállamok tevékenységeit, és általánosabban, az EUMSZ 4. cikk (2) bekezdésének b) pontja értelmében az Unió és a tagállamok az EUMSZ 2. cikk (2) bekezdése szerinti megosztott hatáskörrel rendelkeznek a szociálpolitikának az EUM‑Szerződésben meghatározott vonatkozásai tekintetében.

44.      E körülmények között minden tagállam szabadon határozhat meg külön rendelkezéseket az adatvédelmi tisztviselő elbocsátására vonatkozóan, feltéve, hogy e rendelkezések összeegyeztethetők a 2016/679 rendeletben előírt, az adatvédelmi tisztviselő védelmét biztosító rendszerrel.(31)

45.      Amint az a tagállamok általam megismert szabályozásának(32) rövid vizsgálatából kitűnik, legtöbbjük nem hozott semmilyen, az elbocsátásra vonatkozó egyedi rendelkezést, és a – közvetlenül alkalmazandó – 2016/679 rendelet 38. cikke (3) bekezdésének második mondatában foglalt tilalomra szorítkoztak.(33)

46.      Más tagállamok azonban úgy döntöttek, hogy kiegészítik e cikket.(34)

47.      E tekintetben megjegyzem, hogy a 29. cikk szerinti munkacsoport úgy ítélte meg, hogy „[a] szokásos irányítási szabályok keretében, valamint bármely más alkalmazottra vagy vállalkozóra vonatkozó alkalmazandó nemzeti szerződési vagy munkajogi, büntetőjogi szabályok alapján, az adatvédelmi tisztviselőt is jogszerűen el lehet bocsátani az adatvédelmi tisztviselőként végzett feladataitól eltérő okból (például lopás, fizikai, pszichológiai vagy szexuális zaklatás vagy más hasonlóan súlyos kötelességszegés esetén)”.(35)

48.      A tagállamok döntésétől függetlenül véleményem szerint az adatvédelmi tisztviselő elbocsátására vonatkozó okok jogszerűségének ellenőrzéséért felelős tagállami közigazgatási szerv vagy bíróság is hozzájárul az adatvédelmi tisztviselő függetlenségének biztosításához.

49.      Mivel ugyanis nagy a valószínűsége annak, hogy az adatvédelmi tisztviselő feladatainak megfelelő ellátásával való kapcsolat nem következik kifejezetten az elbocsátásáról szóló döntésből,(36) elképzelhető kizárólag az adatvédelmi tisztviselői minőségen alapuló általános védelem. A jelen ügyben a kérdést előterjesztő bíróság magyarázataiból az következik, hogy a német jogban értelmezett „alapos indok” fogalma vezet a további védelem érdekében annak megállapításához, hogy az adatvédelmi tisztviselő munkaviszonya nem szüntethető meg átszervezés esetén.(37) Ennek szellemében tekinthető továbbá úgy, hogy az adatvédelmi tisztviselő kijelölésére kötelezett és erre a célra az egyik alkalmazottját kiválasztó vállalkozás gazdasági nehézségei esetén e tisztviselő feladatait – a 2016/679 rendelet célja és az adatvédelmi tisztviselőnek a rendelet céljának teljesüléséhez történő hozzájárulása miatt – mindaddig el kell látni, amíg a munkáltató tevékenysége folytatódik.

50.      A 2016/679 rendelet 38. cikke (3) bekezdésének második mondatában foglalt tilalomnak azonban szükségszerűen vannak korlátai az adatvédelmi tisztviselő kötelezettségei teljesítését érintő objektív zavarok esetén. E korlátokat a rendelet által elérni kívánt célkitűzéssel összhangban kell meghatározni.(38)

51.      Így véleményem szerint a 2016/679 rendelet céljával éppúgy összhangban lévő értelmezésnek annak elfogadásához kell vezetnie, hogy az adatvédelmi tisztviselő elbocsátható, ha már nem felel meg a feladatai ellátásához szükséges minőségi feltételeknek, így a szóban forgó rendelet 37. cikkének (5) bekezdésében meghatározottaknak, vagy nem tesz eleget a rendelet 38. cikke (3) bekezdésének első és harmadik mondatában, valamint (5) és (6) bekezdésében meghatározott kötelezettségeknek,(39) vagy ha szakértelme nem megfelelő.(40)

52.      Következésképpen véleményem szerint a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatát akként kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely előírja, hogy az adatvédelmi tisztviselőt a munkáltató csak alapos okból bocsáthatja el, még akkor is, ha az elbocsátás nem kapcsolódik az adatvédelmi tisztviselő feladatainak ellátásához.

53.      Ha azonban a Bíróság nem ért egyet ezzel a véleménnyel, és úgy határoz, hogy igenlő választ ad a kérdést előterjesztő bíróság első kérdésére, akkor meg kell válaszolni az előzetes döntéshozatalra előterjesztett másik két kérdést.

B.      Az előzetes döntéshozatalra előterjesztett második kérdésről

54.      A második kérdéssel a kérdést előterjesztő bíróság azt kívánja megtudni, hogy a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatával ellentétes‑e az olyan nemzeti szabályozás, amely jogellenesnek nyilvánítja az adatvédelmi tisztviselő munkáltatója általi, alapos indok nélküli elbocsátását – még akkor is, ha az elbocsátás nem kapcsolódik az adatvédelmi tisztviselő feladatainak ellátásához –, amennyiben az adatvédelmi tisztviselő kijelölése nem e rendelet 37. cikkének (1) bekezdése, hanem kizárólag a nemzeti jog alapján kötelező, amint azt a szóban forgó rendelet 37. cikkének (4) bekezdése előirányozza.

55.      Megjegyzem, hogy a 2016/679 rendelet 38. cikkének (3) bekezdése és a rendelet adatvédelmi tisztviselőről szóló 4. szakaszának egyéb rendelkezései nem tesznek különbséget aszerint, hogy az adatvédelmi tisztviselő kijelölése kötelező vagy választható.

56.      Ezért úgy vélem, hogy a kérdést előterjesztő bíróságnak azt a választ kell adni, hogy a 2016/679 rendelet 38. cikke (3) bekezdésének második mondata alkalmazandó anélkül, hogy különbséget kellene tenni aszerint, hogy az adatvédelmi tisztviselőt az uniós jog vagy a nemzeti jog alapján jelölték‑e ki kötelezően.

C.      Az előzetes döntéshozatalra előterjesztett harmadik kérdésről

57.      A kérdést előterjesztő bíróság a harmadik kérdésével a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatának érvényességére kérdez rá, különösen arra, hogy e rendelkezés megfelelő felhatalmazási alapon nyugszik‑e, különösen amennyiben az adatkezelővel munkaviszonyban álló adatvédelmi tisztviselőkről rendelkezik.

58.      Azt javaslom a Bíróságnak, hogy állapítsa meg, hogy a 2016/679 rendelet 38. cikke (3) bekezdésének második mondata megfelelő felhatalmazási alapon nyugszik, mivel célja kizárólag az, hogy az adatvédelmi tisztviselőt megvédje a feladatai ellátását érintő bármely akadállyal szemben, továbbá azt, hogy ez a garancia – a munkaviszony fennállásának figyelembevételétől függetlenül – hozzájárul az e rendeletben kitűzött célok hatékony megvalósításához.

59.      Egyrészről ugyanis – amint azt az előzetes döntéshozatalra előterjesztett első kérdés elemzése során kifejtettem,(41) – az EUMSZ 16. cikk jelenti a jogalapot, amelyen a rendelet alapul. Ezen túlmenően a Bíróság úgy határozott, hogy e rendelkezés az EUSZ 39. cikk sérelme nélkül megfelelő jogalapnak minősül akkor, ha a személyes adatok védelme képezi az uniós jogalkotó által elfogadott szabályok egyik célját vagy lényegi összetevőjét.(42)

60.      Másrészről az egyik feltétel véleményem szerint teljes mértékben teljesül az adatvédelmi tisztviselő 2016/679 rendeletben meghatározott szerepét és annak szabályozását illetően. Az adatvédelmi tisztviselő funkcionális függetlenségének biztosítását – amely annak a követelménynek kíván eleget tenni, hogy magas szinten biztosítsa a személyes adatok kezelése által érintettek alapvető jogainak tiszteletben tartását(43) – a szóban forgó rendelet 38. cikke (3) bekezdésének második mondata azáltal tükrözi, hogy megtiltja az adatvédelmi tisztviselő feladataival összefüggő okok miatti elbocsátását. Mivel e rendelkezés nem ír elő munkajogi harmonizációt, az uniós jogalkotó nem lépte túl az EUMSZ 16. cikk (2) bekezdésében ráruházott normatív hatáskört.

61.      A szubszidiaritás és az arányosság elve tiszteletben tartása tekintetében – amelyre vonatkozóan a kérdést előterjesztő bíróság szintén tesz fel kérdést – először is megjegyzem, hogy a személyes adatok határokon átnyúló kezelésének növekedése indokolja a személyes adatok alapvető jogokra tekintettel történő védelmének uniós szintű megvalósítását,(44) különösen az e védelem „kulcsszereplőjének” tekintett adatvédelmi tisztviselő előjogainak biztosításával.(45) Másodszor, úgy tűnik számomra, hogy a 2016/679 rendelet 38. cikke (3) bekezdésének második mondata nem haladja meg az adatvédelmi tisztviselő funkcionális függetlenségének biztosításához szükséges mértéket. Kétségtelen, hogy az e rendelkezésben előírt azon garancia, miszerint az adatvédelmi tisztviselő nem bocsátható el, szükségszerűen kihat a munkaviszonyra. E hatás azonban csak az adatvédelmi tisztviselő jogállásának hatékony érvényesülését hivatott megőrizni.

62.      Ezért úgy vélem, hogy a kérdést előterjesztő bíróságnak azt a választ kell adni, hogy az előzetes döntéshozatalra előterjesztett harmadik kérdés vizsgálata nem tárt fel olyan tényezőt, amely a 2016/679 rendelet 38. cikke (3) bekezdésének második mondatának érvényességét érintené.

V.      Végkövetkeztetés

63.      A fenti megfontolások összességére tekintettel azt javaslom, hogy a Bundesverwaltungsgericht (szövetségi munkaügyi bíróság, Németország) által előzetes döntéshozatalra előterjesztett kérdésekre a Bíróság a következő választ adja:

Elsődlegesen:

–        A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 38. cikke (3) bekezdésének második mondatát úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely előírja, hogy az adatvédelmi tisztviselőt a munkáltató csak alapos okból bocsáthatja el, még akkor is, ha az elbocsátás nem kapcsolódik az adatvédelmi tisztviselő feladatainak ellátásához.

Másodlagos jelleggel, ha a Bíróság igenlő választ adna az előzetes döntéshozatalra előterjesztett első kérdésre:

–        A 2016/679 rendelet 38. cikke (3) bekezdésének második mondata alkalmazandó anélkül, hogy különbséget kellene tenni aszerint, hogy az adatvédelmi tisztviselőt az uniós jog vagy a nemzeti jog alapján jelölték‑e ki kötelezően.

–        Az előzetes döntéshozatalra előterjesztett harmadik kérdés vizsgálata nem tárt fel olyan tényezőt, amely a 2016/679 rendelet 38. cikke (3) bekezdése második mondatának érvényességét érintené.


1      Eredeti nyelv: francia.


2      HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.


3      BGBI. 1990. I, 2954. o.


4      BGBI. 2017. I, 2097. o.; a továbbiakban: BDSG.


5      A BDSG 38. §‑a (1) bekezdése első mondatának 2019. november 26. óta hatályos változata a foglalkoztatottak létszámát „tízről” „húszra” emelte.


6      BGBI 2002. I, 42. o., helyesbítés: 2909. o. és BGBI. 2003. I, 738. o.


7      A kérdést előterjesztő bíróság hozzátette, hogy ítélkezési gyakorlata szerint az elbocsátás tekintetében nem minősül alapos oknak, ha átszervezés miatt a vállalati adatvédelmet a jövőben külső munkatársként működő adatvédelmi tisztviselő révén biztosítják (lásd: Bundesarbeitsgericht [szövetségi munkaügyi bíróság] 2011. március 23‑i 10 AZR 562/09. sz.ítélet, 18. pont, elérhető a következő internetes címen: https://www.bundesarbeitsgericht.de/entscheidung/10‑azr‑562–09/).


8      E rendelet 37. cikke.


9      Az említett rendelet 38. cikke.


10      Ugyanezen rendelet 39. cikke.


11      Lásd különösen: 2021. május 12‑i Bundesrepublik Deutschland (Az Interpol vörös riasztása) ítélet (C‑505/19, EU:C:2021:376, 77. pont).


12      Kiemelés tőlem.


13      E tekintetben a 2016. december 13‑án elfogadott és 2017. április 5‑én felülvizsgált „[i]ránymutatás az adatvédelmi tisztviselőkkel kapcsolatban” című dokumentumban (a továbbiakban: adatvédelmi tisztviselőkről szóló iránymutatás), amely a következő internetes címen érhető el: https://ec.europa.eu/newsroom/article29/items/612048/en, a személyes adatok feldolgozása vonatkozásában az egyének védelmével foglalkozó, a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL 1995. L 281., 13. o.) 29. cikke alapján létrehozott munkacsoport (a továbbiakban: 29. cikk szerinti munkacsoport)pontosította, hogy „[s]okféle szankció létezhet, amelyek lehetnek közvetlenek vagy közvetettek. Például az adatvédelmi tisztviselőt nem léptetik elő vagy az előléptetést késleltetik: megakadályozzák az előremenetelt; megtagadják azokat a juttatásokat, amelyeket a többi alkalmazott megkap. Nem szükséges, hogy ezeket a szankciókat ténylegesen alkalmazzák is, a puszta fenyegetés is elegendő, ha ezzel az adatvédelmi tisztviselőt az adatvédelmi tisztviselői tevékenységeivel kapcsolatban szankcionálják” (18. o.). A 2016/679 rendelet hatálybalépése óta ezt a munkacsoportot az Európai Adatvédelmi Testület váltotta fel. Az Európai Adatvédelmi Testület 2018. május 25‑i első plenáris ülésén jóváhagyta az adatvédelmi tisztviselőkről szóló iránymutatást (lásd: https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).


14      Amint arra LH rámutat, a 2016/679 rendelet 38. cikke (3) bekezdése második mondatának német nyelvi változata („abberufen”) mellett olyan nyelvi változatok, mint például a spanyol („destituido”), a francia („relevé”) vagy a portugál („destituído”), egyértelműen jelzik, hogy e rendelet az adatvédelmi tisztviselői jogállás, nem pedig a „munkaviszony” megszüntetésével (német nyelven „kündigen”) foglalkozik. Lásd még az angol („dismissed”), olasz („rimosso”), lengyel („odwoływany”) és román („demis”) nyelvi változatokat.


15      Lásd az Európai Unió Tanácsa elnökségének 2014. október 3‑i feljegyzését a személyes adatok kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról (általános adatvédelmi rendelet) [első olvasat] – IV. fejezet, amely a következő internetes címen érhető el: https://data.consilium.europa.eu/doc/document/ST‑13772–2014‑INIT/hu/pdf, e javaslat 36. cikkének (3) bekezdésébe beiktatandó azon kiegészítéssel kapcsolatban, miszerint az adatvédelmi tisztviselőt feladatai ellátása miatt nem érheti hátrány (34. o.). Lásd még a Tanács első olvasatban kialakított, 2016. április 6‑i álláspontját a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló tanácsi rendelet elfogadásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet), amely a következő internetes címen érhető el: https://eur‑lex.europa.eu/legal‑content/HU/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, a 2016/679 rendelet 38. cikkének jelenlegi szövegének elfogadásával.


16      A „független” kifejezés a 2016/679 rendelet (97) preambulumbekezdésének utolsó mondatában szerepel.


17      HL 2018. L 295., 39. o.; helyesbítés: HL 2019. L 290., 42. o.


18      Lásd a 2016/679 rendelet 37. cikkének (6) bekezdését.


19      Lásd: a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) elfogadása céljából első olvasatban elfogadott tanácsi álláspont – a Tanács 2016. március 31‑i indokolástervezete, amely a következő internetes címen érhető el: https://eur‑lex.europa.eu/legal‑content/HU/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (22. o.). Az adatvédelmi tisztviselőnek a 2016/679 rendelet alkalmazása során betöltött jelentős szerepe tekintetében lásd e rendelet (97) preambulumbekezdését, valamint az említett rendelet 39. cikkében meghatározott feladatait. Ebben a tekintetben a 29. cikk szerinti munkacsoport az adatvédelmi tisztviselőkről szóló iránymutatásban emlékeztetett arra, hogy a 2016/679 rendelet elfogadása előtt ara hivatkozott, hogy az adatvédelmi tisztviselő „az elszámoltathatóság sarokköve, és az adatvédelmi tisztviselő kijelölése elősegítheti a jogszabályoknak való megfelelést” (5. o.). E munkacsoport azt is megállapította, hogy a rendelet az adatvédelmi tisztviselőt „kulcsszereplőként ismeri el az új adatkezelési rendszerben” (6. o.). Az adatkezelő vagy adatfeldolgozó azon információs szükségleteinek szemléltetésére, amelyekre az adatvédelmi tisztviselőnek választ kell adnia, lásd: 2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 134. pont).


20      Lásd a 2016/679 rendelet 38. cikke (3) bekezdésének első és harmadik mondatát.


21      Lásd a 2016/679 rendelet 38. cikkének (5) bekezdését.


22      Lásd a 2016/679 rendelet preambulumát és (12) preambulumbekezdését, valamint: 2021. június 15‑i Facebook Ireland és társai ítélet (C‑645/19, EU:C:2021:483, 44. pont).


23      Lásd: a Facebook Ireland ügyre vonatkozó indítványom (C‑319/20, EU:C:2021:979, 51. pont).


24      Ebben a kontextusban úgy vélem, hogy az említett rendelet 88. cikke (1) bekezdésének rendelkezései nem használhatók fel annak megállapítására, hogy azok engedő rendelkezést képeznek.


25      Lásd: a Facebook Ireland ügyre vonatkozó indítványom (C‑319/20, EU:C:2021:979, 51. pont).


26      Lásd a jelen indítvány 31. pontját.


27      Lásd a 2016/679 rendeletet illetően különösen: a Facebook Ireland ügyre vonatkozó indítványom (C‑319/20, EU:C:2021:979, 52. pont).


28      Lásd: a Facebook Ireland ügyre vonatkozó indítványom (C‑319/20, EU:C:2021:979, 52. pont). Ezen túlmenően ennek 55. pontjában már felhívtam a Bíróság figyelmét arra, hogy a 2016/679 rendelet számos engedő rendelkezést tartalmaz, amelyek révén kifejezetten a tagállamokra ruházza a jogalkotási hatáskört, ami lehetővé teszi a klasszikus rendelettől való megkülönböztetését, és az irányelvekhez teszi hasonlóvá.


29      E tekintetben, amint azt a Bielak‑Jomaa, E., „Artykuł 38. Status inspektora ochrony danych”, in: Bielak‑Jomaa, E., és Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varsó, 2018., 794–806. o., hangsúlyozza, különösen az 5. pont negyedik bekezdésében, a 29. cikk szerinti munkacsoport nem jelölt meg olyan kritériumokat, amelyek hasznosak lennének az adatvédelmi tisztviselő feladatai helyes vagy helytelen ellátásának meghatározása céljára. Ugyanígy Foret, O., „Le rôle du DPO”, in: Bensamoun, A. és Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Párizs, 2020, 233–239. o., különösen 235. és 236. o., kiemeli, hogy „az Európai Adatvédelmi Testület iránymutatásában pontosította, hogy […] »a[z adatvédelmi tisztviselőnek történő kijelöléshez] szükséges szakértelem szintje nincs szigorúan meghatározva, arányosnak kell [azonban] lennie a szervezet által kezelt adatok érzékenységével, összetettségével és mennyiségével«” (lásd: az adatvédelmi tisztviselőkről szóló iránymutatást [13. o.]). Lásd még ezen iránymutatás 14. oldalát. Lásd továbbá a jelen indítvány 50. és 51. pontját.


30      Lásd: Bergt, M., „Art 38. Stellung des Datenschutzbeauftragten”, in: Kühling, J., és Buchner, B., DatenschutzGrundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. kiadás, C. H.Beck, München, 2020, különösen 29. pont. A szerző utal arra, hogy „[a] Bizottság és a Parlament tervezeteitől eltérően a 38. cikk nem írja elő a megbízatás minimális időtartamát, amelyre az adatvédelmi tisztviselőt ki kell jelölni”.


31      Lásd a jelen indítvány 31. és 32. pontját. Hozzá kell tenni, hogy az uniós jogalkotó szándékosan választotta ezt a lehetőséget, amikor nem fogadta el az Európai Gazdasági és Szociális Bizottságnak a 2016/679 rendelettel kapcsolatos jogalkotási munka részeként tett javaslatát, amelynek célja az volt, hogy tovább pontosítsák „az [adatvédelmi tisztviselő] feladatkör[éhez] kapcsolódó feltételeket, többek között az elbocsátások elleni védelmet, amelyet egyértelműen meg kell határozni, és amelynek ki kell terjednie azon az időszakon túlra, amelynek során az érintett betölti ezt a feladatkört”: lásd az Európai Gazdasági és Szociális Bizottságnak a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) vonatkozó javaslatról szóló véleményének 4.11.1 pontját (HL 2012. C 229., 90. o.).


32      Lásd különösen a következő internetcímeken elérhető információkat: https://www.dlapiperdataprotection.com/index.html?t=data‑protection‑officers&c=HR&c2= és https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.


33      Ez a helyzet a Dán Királyság, Írország, a Horvát Köztársaság, az Olasz Köztársaság, a Ciprusi Köztársaság, a Máltai Köztársaság, a Holland Királyság, az Osztrák Köztársaság, a Lengyel Köztársaság, a Portugál Köztársaság, Románia és a Finn Köztársaság esetében. A Horvát, a Máltai és a Lengyel Köztársaságban, akárcsak a Bolgár Köztársaságban, az adatvédelmi tisztviselő elbocsátását vagy személyének megváltozását be kell jelenteni a nemzeti személyesadat‑védelmi hatóságnak. Egyes tagállamokban, például a Francia Köztársaságban és a Luxemburgi Nagyhercegségben pontosításra került, hogy az adatvédelmi tisztviselő nem élvez védett munkavállalói státuszt, amely a 2016/679 rendeletben foglaltakon felül további garanciát jelentene.


34      Lásd a belga jogban a 2016/679 rendelet hatálybalépését megelőző, 2015. december 6‑i arrêté royalrelatif aux conseillers en sécurité et en protection de la vie privée et à la plate‑forme de la sécurité et de la protection des données (a biztonsági és az adatvédelmi tanácsadókról és az adatbiztonsági és adatvédelmi platformról szóló királyi rendelet; Moniteur belge, 2015. december 28., 79268. o.) 6. cikkének harmadik bekezdését, amelynek értelmében „[a] munkáltató vagy az illetékes hatóság nem szüntetheti meg a tanácsadó szerződését, nem szüntetheti meg a tanácsadó közalkalmazotti kinevezését vagy mentheti fel tisztségéből, kivéve, ha a függetlenségétől eltérő okok, vagy olyan okok állnak fenn, amelyek azt bizonyítják, hogy alkalmatlan feladatai ellátására”. Kiemelés tőlem. Lásd még a spanyol jogban a 2018. december 5‑i Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los derechos digitales (a személyes adatok védelméről és a digitális jogok biztosításáról szóló 3/2018. sz. sarkalatos törvény; a BOE 2018. december 6‑i 294. száma, 119788. o.) 36. cikkének (2) bekezdését, amely szerint: „[a]mennyiben az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó szervezetén belüli természetes személy, az adatkezelő vagy az adatfeldolgozó nem bocsáthatja el és nem sújthatja szankcióval a feladatai ellátása miatt, kivéve a feladatai ellátása során elkövetett szándékos kötelességszegés vagy súlyos gondatlanság esetét”. Kiemelés tőlem.


35      Lásd az adatvédelmi tisztviselőikről szóló iránymutatást (19. o.). Kiemelés tőlem.


36      Lásd ebben az értelemben: Fajgielski, P., „Artykuł 38. Status inspektora ochrony danych”, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varsó, 2018., 430–437. o., különösen 5. pont, ötödik bekezdés. Lásd még: Kremer, S., „§ 6 Datenschutzbeauftragter”, in: Laue, P., Nink, J., és Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, 2. kiadás, Nomos, Baden‑Baden, 2019, különösen 36. pont, és Bergt, M., „Art 38. Stellung des Datenschutzbeauftragten”, i. m., különösen 30. pont, valamint Bussche, A., „Art. 38 DSGVO”, in: Plath, K.‑U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3. kiadás, Otto Schmidt, Köln, 2018., különösen 19. pont.


37      Lásd a jelen indítvány7. lábjegyzetét.


38      Lásd a jelen indítvány 31., 60. és 61. pontját.


39      Lásd a jelen indítvány 31. pontját. Lásd még: a jelenleg folyamatban lévő X‑FAB Dresden ügy (C‑453/21) és KISA ügy (C‑560/21), amelyekben a Bundesarbeitsgericht (szövetségi munkaügyi bíróság) két különböző tanácsa fordult a Bírósághoz, amely tanácsok ugyanazokat a kérdéseket terjesztették elő előzetes döntéshozatalra, jóllehet összeférhetetlenségi okokból való elbocsátás ügyében. A hivatkozott első ügyben egy kiegészítő kérdés egy ilyen összeférhetetlenség kritériumaira vonatkozik.


40      Lásd ebben az értelemben: Kremer, S., „§ 6 Datenschutzbeauftragter”, i. m., különösen 35. pont, valamint Bussche, A., „Art. 38 DSGVO”, i. m., különösen 17. pont.


41      Lásd a jelen indítvány 34. pontját.


42      2017. július 26‑i 1/15 vélemény (EU–Kanada PNR‑megállapodás) (EU:C:2017:592, 96. pont).


43      Lásd: 2021. június 15‑i Facebook Ireland és társai ítélet (C‑645/19, EU:C:2021:483, 44., 45. és 91. pont).


44      Lásd ebben az értelemben: 2021. június 15‑i Facebook Ireland és társai ítélet (C‑645/19, EU:C:2021:483, 45. pont, valamint analógia útján 47. pont).


45      Lásd a jelen indítvány 19. lábjegyzetének negyedik mondatát.