Language of document : ECLI:EU:C:2022:62

NÁVRHY GENERÁLNEHO ADVOKÁTA

JEAN RICHARD DE LA TOUR

prednesené 27. januára 2022(1)

Vec C534/20

Leistritz AG

proti

LH

[návrh na začatie prejudiciálneho konania, ktorý podal Bundesarbeitsgericht (Spolkový pracovný súd, Nemecko)]

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 38 ods. 3 druhá veta – Zodpovedná osoba – Zákaz odvolania z funkcie za výkon jej úloh – Právny základ – Článok 16 ZFEÚ – Platnosť – Požiadavka funkčnej nezávislosti – Rozsah harmonizácie – Vnútroštátna právna úprava zakazujúca prepustenie zodpovednej osoby v prípade neexistencie závažného dôvodu – Zodpovedná osoba, ktorej určenie je povinné podľa vnútroštátneho práva“






I.      Úvod

1.        Návrh na začatie prejudiciálneho konania, ktorý podal Bundesarbeitsgericht (Spolkový pracovný súd, Nemecko), sa týka výkladu a platnosti článku 38 ods. 3 druhej vety nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)(2).

2.        Tento návrh bol podaný v rámci sporu medzi LH a jej zamestnávateľom, spoločnosťou Leistritz AG, vo veci ukončenia jej pracovnej zmluvy z dôvodu reorganizácie služieb tejto spoločnosti, pričom podľa uplatniteľného nemeckého práva môže byť LH prepustená len zo závažného dôvodu bez dodržania výpovednej doby vzhľadom na to, že bola určená za zodpovednú osobu.

3.        V týchto návrhoch vysvetlím dôvody, pre ktoré sa domnievam, že zákaz odvolania zodpovednej osoby z funkcie stanovený v článku 38 ods. 3 druhej vete nariadenia 2016/679 nevyplýva z harmonizácie hmotnoprávnych predpisov pracovného práva, ktorá ponecháva členským štátom možnosť posilniť ochranu zodpovednej osoby vo svojich vnútroštátnych predpisoch v rôznych oblastiach v súlade s cieľom sledovaným týmto nariadením.

II.    Právny rámec

A.      Nariadenie 2016/679

4.        Odôvodnenia 10, 13 a 97 nariadenia 2016/679 stanovujú:

„(10)      S cieľom zabezpečiť konzistentnú a vysokú úroveň ochrany fyzických osôb a odstrániť prekážky tokov osobných údajov v rámci [Európskej ú]nie, úroveň ochrany práv a slobôd fyzických osôb pri spracúvaní týchto údajov by mala byť rovnaká vo všetkých členských štátoch. Konzistentné a jednotné uplatňovanie pravidiel ochrany základných práv a slobôd fyzických osôb pri spracúvaní osobných údajov by sa malo zabezpečiť v rámci celej Únie…

(13)      S cieľom zaručiť konzistentnú úroveň ochrany fyzických osôb v celej Únii a zabrániť rozdielom, ktoré sú prekážkou voľného pohybu osobných údajov v rámci vnútorného trhu, je potrebné prijať nariadenie, ktorým sa poskytne právna istota a transparentnosť pre hospodárske subjekty vrátane mikropodnikov a malých a stredných podnikov, a ktorým sa fyzickým osobám vo všetkých členských štátoch poskytne rovnaká úroveň právne vymožiteľných práv, ktorým sa prevádzkovateľom a sprostredkovateľom uložia povinnosti a zodpovednosti, ktorým sa zabezpečí konzistentné monitorovanie spracúvania osobných údajov a ktorým sa stanovia rovnocenné sankcie vo všetkých členských štátoch, ako aj účinná spolupráca dozorných orgánov rozličných členských štátov…

(97)      … Zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle.“

5.        Článok 1 tohto nariadenia, nazvaný „Predmet úpravy a ciele“, v odseku 1 stanovuje:

„Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.“

6.        Článok 37 uvedeného nariadenia, nazvaný „Určenie zodpovednej osoby“, v odsekoch 1 a 4 až 6 stanovuje:

„1.      Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

a)      spracúvanie vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov pri výkone ich súdnej právomoci;

b)      hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah a/alebo účely vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu; alebo

c)      hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií údajov podľa článku 9 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky podľa článku 10.

4.      V iných prípadoch, ako sú prípady uvedené v odseku 1, zodpovednú osobu môže určiť alebo, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, určí prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

5.      Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39.

6.      Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.“

7.        Článok 38 toho istého nariadenia, nazvaný „Postavenie zodpovednej osoby“, stanovuje:

„1.      Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

3.      Prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s výkonom týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

4.      Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

5.      Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s právom Únie alebo s právom členského štátu.

6.      Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z akýchto úloh alebo povinností neviedla ku konfliktu záujmov.“

8.        V článku 39 nariadenia 2016/679 sa uvádzajú hlavné úlohy zodpovednej osoby.

B.      Nemecké právo

9.        § 6 Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov) z 20. decembra 1990(3), v znení účinnom od 25. mája 2018 do 25. novembra 2019(4), nazvaný „Funkcia“, v odseku 4 stanovuje:

„Zodpovedná osoba môže byť odvolaná z funkcie len pri analogickom uplatnení § 626 Bürgerliches Gesetzbuch [Občiansky zákonník]. Prepustenie zodpovednej osoby je nezákonné, pokiaľ nenastali skutočnosti, ktoré verejný orgán oprávňujú prepustiť ju zo závažného dôvodu bez dodržania výpovednej doby. Po skončení výkonu funkcie zodpovednej osoby je prepustenie počas jedného roka nezákonné, pokiaľ verejný orgán nie je oprávnený ju prepustiť zo závažného dôvodu bez dodržania výpovednej doby.“

10.      § 38 BDSG, nazvaný „Zodpovedné osoby neverejnoprávnych subjektov“, stanovuje:

„1.      Okrem prípadov uvedených v článku 37 ods. 1 písm. b) a c) nariadenia… 2016/679 prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v prípade, že spravidla zamestnávajú najmenej desať osôb[(5)] trvalo poverených automatizovaným spracovaním osobných údajov. …

2.      Uplatňuje sa § 6 ods. 4, § 6 ods. 5 druhá veta a § 6 ods. 6; § 6 ods. 4 sa však uplatňuje len vtedy, ak je určenie zodpovednej osoby povinné.“

11.      § 134 Občianskeho zákonníka v znení uverejnenom 2. januára 2002(6) nazvaný „Zákonný zákaz“, znie takto:

„Ak zákon nestanovuje inak, akýkoľvek právny úkon odporujúci zákonnému zákazu je neplatný.“

12.      § 626 tohto zákonníka, nazvaný „Ukončenie pracovného pomeru zo závažného dôvodu bez výpovednej doby“, stanovuje:

„1.      Každá zo zmluvných strán môže ukončiť pracovný pomer zo závažného dôvodu bez dodržania výpovednej doby, ak vzhľadom na určité skutočnosti nemožno od zmluvnej strany, ktorá vypovedá zmluvu, požadovať pokračovanie pracovného pomeru až do uplynutia výpovednej doby alebo do dohodnutého skončenia pracovného pomeru, a to so zreteľom na všetky okolnosti prípadu a s prihliadnutím na záujmy oboch zmluvných strán.

2.      K ukončeniu pracovného pomeru môže dôjsť len v lehote dvoch týždňov. Lehota začína plynúť od okamihu, keď sa zmluvná strana, ktorá môže vypovedať zmluvu, dozvie o skutočnostiach relevantných pre ukončenie pracovného pomeru…“

III. Spor vo veci samej a prejudiciálnej otázky

13.      Leistritz je súkromnoprávna spoločnosť, ktorá je podľa nemeckého práva povinná určiť zodpovednú osobu. LH vykonávala v tejto spoločnosti od 15. januára 2018 funkciu vedúcej oddelenia právnych záležitostí a od 1. februára 2018 funkciu internej zodpovednej osoby.

14.      Listom z 13. júla 2018 Leistritz prepustila LH s výpovednou dobou, a to s účinnosťou od 15. augusta 2018, pričom sa odvolávala na reštrukturalizačné opatrenie podniku, v rámci ktorého boli interné právne poradenstvo a oddelenie ochrany údajov prenesené na externé subjekty.

15.      Súd, na ktorom LH spochybnila platnosť svojho prepustenia, rozhodol, že v súlade s ustanoveniami § 38 ods. 2 v spojení s § 6 ods. 4 druhou vetou BDSG možno LH z dôvodu jej funkcie zodpovednej osoby prepustiť bez výpovednej doby len zo závažného dôvodu. Reštrukturalizačné opatrenie opísané spoločnosťou Leistritz pritom nepredstavuje závažný dôvod na prepustenie bez výpovednej doby.

16.      Vnútroštátny súd, na ktorý podala Leistritz opravný prostriedok „Revision“, zdôrazňuje, že podľa nemeckého práva je prepustenie LH neplatné na základe týchto ustanovení a § 134 Občianskeho zákonníka.(7) Uvádza však, že uplatniteľnosť takýchto ustanovení závisí od toho, či právo Únie, a najmä článok 38 ods. 3 druhá veta nariadenia 2016/679, umožňuje, aby právne predpisy členského štátu podrobili prepustenie zodpovednej osoby prísnejším podmienkam, ako sú podmienky stanovené v práve Únie. Ak by to tak nebolo, musel by vyhovieť opravnému prostriedku „Revision“.

17.      Za týchto podmienok Bundesarbeitsgericht (Spolkový pracovný súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

„1.      Má sa článok 38 ods. 3 druhá veta nariadenia [2016/679] vykladať v tom zmysle, že bráni ustanoveniam vnútroštátneho práva, ako sú v prejednávanej veci ustanovenia § 38 ods. 1 a 2 a v spojení s § 6 ods. 4 druhou vetou [BDSG], podľa ktorých je prepustenie zodpovednej osoby s výpovednou dobou zo strany prevádzkovateľa, ktorý je jej zamestnávateľom, nezákonné, bez ohľadu na to, či k tomuto prepusteniu došlo v súvislosti s výkonom úloh tejto zodpovednej osoby?

2.      V prípade, ak je odpoveď na prvú otázku kladná:

Bráni článok 38 ods. 3 druhá veta [nariadenia 2016/679] takým ustanoveniam vnútroštátneho práva, aj keď určenie zodpovednej osoby nie je povinné podľa článku 37 ods. 1 [tohto nariadenia], ale len podľa práva členského štátu?

3.      V prípade, ak je odpoveď na prvú otázku kladná:

Vychádza článok 38 ods. 3 druhá veta [nariadenia 2016/679] z dostatočného právneho základu, najmä pokiaľ sa vzťahuje na zodpovedné osoby, ktoré sú s prevádzkovateľom viazané pracovnou zmluvou?“

18.      LH, Leistritz, nemecká a rumunská vláda, ako aj Európsky parlament, Rada Európskej únie a Európska komisia predložili písomné pripomienky. Títo účastníci konania, s výnimkou nemeckej a rumunskej vlády, predniesli svoje ústne pripomienky na pojednávaní, ktoré sa konalo 18. novembra 2021.

IV.    Analýza

A.      O prvej prejudiciálnej otázke

19.      Svojou prvou otázkou sa vnútroštátny súd v podstate pýta Súdneho dvora, či sa má článok 38 ods. 3 druhá veta nariadenia 2016/679 vykladať v tom zmysle, že bráni vnútroštátnej právnej úprave, ktorá stanovuje, že zamestnávateľ zodpovednej osoby ju môže prepustiť len zo závažného dôvodu, aj keď prepustenie nesúvisí s výkonom úloh tejto zodpovednej osoby.

20.      Odpoveď na túto otázku si v prvom rade vyžaduje objasnenie toho, čo sa rozumie pod výrazom „odvolať… za výkon jej úloh“, ktorý použil normotvorca Únie v článku 38 ods. 3 druhej vete nariadenia 2016/679. V druhom rade bude potrebné určiť, či členské štáty majú možnosť rozšíriť záruky, ktoré má zodpovedná osoba podľa tohto ustanovenia.

1.      O ochrane zodpovednej osoby podľa článku 38 ods. 3 druhej vety nariadenia 2016/679

21.      Článok 38 nariadenia 2016/679 je obsiahnutý v kapitole IV tohto nariadenia, ktorá sa týka „prevádzkovateľ[a] a sprostredkovateľ[a]“, a konkrétne v jej oddiele 4 s názvom „Zodpovedná osoba“. Tento oddiel obsahuje tri články týkajúce sa určenia zodpovednej osoby(8), jej postavenia(9) a jej úloh, ktoré spočívajú najmä v poskytovaní osobného poradenstva v oblasti spracovania údajov a v monitorovaní dodržiavania pravidiel ochrany údajov.(10)

22.      Pri výklade článku 38 ods. 3 druhej vety nariadenia č. 2016/679 je podľa ustálenej judikatúry Súdneho dvora potrebné zohľadniť nielen podmienky tohto ustanovenia, ale aj jeho kontext a ciele sledované právnou úpravou, ktorej je súčasťou.(11)

23.      Pokiaľ ide o znenie článku 38 ods. 3 druhej vety nariadenia 2016/679, poznamenávam, že vyjadruje povinnosť v negatívnom zmysle. Uvádza sa v ňom totiž, že „prevádzkovateľ ani sprostredkovateľ… nesmú [zodpovednú osobu] odvolať alebo postihovať za výkon jej úloh“(12).

24.      Toto ustanovenie teda určuje rozsah ochrany zodpovednej osoby. Tá je chránená pred akýmkoľvek rozhodnutím, ktoré by ukončilo výkon jej funkcie alebo by ju znevýhodnilo, ak takéto rozhodnutie súvisí s výkonom jej úloh.

25.      Pokiaľ ide o rozdiel medzi opatrením na odvolanie zodpovednej osoby z funkcie a opatrením na jej postih, poznamenávam po prvé, že nijaké ustanovenie nariadenia 2016/679 výslovne ani implicitne nedefinuje tieto opatrenia.(13)

26.      Po komparatívnom preskúmaní iných jazykových verzií možno konštatovať, že článok 38 ods. 3 druhá veta nariadenia 2016/679 sa vzťahuje na dva druhy opatrení, a to na tie, ktorými dochádza k ukončeniu výkonu funkcie zodpovednej osoby, ako aj na tie, ktoré predstavujú postih alebo znevýhodňujú zodpovednú osobu, a to bez ohľadu na ich rámec. Tieto definície sa teda môžu vzťahovať na výpovede, ktorými zamestnávateľ ukončuje pracovnú zmluvu.(14)

27.      Výsledky skúmania legislatívnej histórie článku 38 nariadenia 2016/679, ku ktorým som mal prístup, neumožňujú – pre nedostatok podrobných informácií – objasniť presné zámery normotvorcu Únie, pokiaľ ide o rozsah pojmu „odvola[ný]“. Možno len poznamenať, že k redakčnému doplneniu o odvolaní z funkcie došlo neskoro v legislatívnom procese,(15) počas ktorého bola zároveň vypustená táto časť vety, ktorá by sa objavila za slovami „Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby zodpovedná osoba“: „mohla pri výkone jej úloh konať nezávisle“(16). Z toho možno vyvodiť, že tento normotvorca chcel konkretizovať povinnosť neodvolať zodpovednú osobu z funkcie za výkon jej úloh.

28.      Poznamenávam tiež, že normotvorca Únie sa rozhodol prevziať znenie článku 38 ods. 3 druhej vety nariadenia 2016/679 do článku 44 ods. 3 druhej vety nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES(17). Z dokumentov týkajúcich sa vypracovania nariadenia 2018/1725 však nemožno vyvodiť nijaké spresnenie, čo je podľa môjho názoru odôvodnené tým, že v článku 44 ods. 8 je doplnená ďalšia základná záruka poskytovaná zodpovednej osobe, a to, že „môže byť z tejto funkcie odvolaná inštitúciou alebo orgánom Únie, ktoré ju menovali, iba so súhlasom Európskeho dozorného úradníka pre ochranu údajov, ak už nespĺňa podmienky požadované na výkon jej povinností“.

29.      Po druhé poznamenávam, že článok 38 ods. 3 druhá veta nariadenia 2016/679 nerozlišuje, či je zodpovedná osoba členom personálu prevádzkovateľa alebo sprostredkovateľa.(18) Toto nariadenie totiž neobsahuje nijaké ustanovenie týkajúce sa vzájomnej závislosti medzi rozhodnutiami prijatými zamestnávateľom v rámci pracovného pomeru a rozhodnutiami týkajúcimi sa povinností zodpovednej osoby. Jediným stanoveným obmedzením je dôvod, pre ktorý nemožno ukončiť výkon funkcie zodpovednej osoby, a to akýkoľvek dôvod založený na výkone jej úloh.

30.      Pokiaľ ide o cieľ sledovaný normotvorcom Únie, odôvodňuje všeobecné znenie článku 38 ods. 3 druhej vety nariadenia 2016/679, ako aj voľbu tohto obmedzenia.

31.      V návrhu dôvodovej správy Rady sa totiž spresňuje, že cieľom určenia zodpovednej osoby je zlepšiť dodržiavanie nariadenia 2016/679.(19) Preto sa v článku 38 ods. 3 druhej vete tohto nariadenia stanovujú povinnosti na zabezpečenie nezávislosti zodpovednej osoby. V tom istom článku je teda stanovené, že zodpovedná osoba nesmie v súvislosti s výkonom jej úloh dostávať žiadne pokyny a že musí podliehať priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.(20) Je tiež viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií.(21)

32.      Dôraz sa teda kladie na prísne vymedzenie funkcie zodpovednej osoby, ktoré je odôvodnené najmä vtedy, keď túto zodpovednú osobu určí prevádzkovateľ, ktorý je jej zamestnávateľom. Zákaz uvedený v článku 38 ods. 3 druhej vete nariadenia 2016/679 teda zaručuje výsady, ktoré má zodpovedná osoba pri výkone jej úloh a ktoré môžu byť v niektorých prípadoch ťažko zlučiteľné s výsadami stanovenými zamestnávateľom v rámci pracovného pomeru.

33.      Analýzu, že jediným účelom tohto ustanovenia je organizovať nezávislý výkon povinností zodpovednej osoby, potvrdzuje kontext, v ktorom bolo prijaté.

34.      V tejto súvislosti je potrebné zdôrazniť, že účelom nariadenia 2016/679 je podľa jeho článku 1 stanoviť pravidlá ochrany fyzických osôb pri spracovaní osobných údajov, ako aj pravidlá o voľnom pohybe týchto údajov. Bolo teda prijaté na základe článku 16 ods. 2 ZFEÚ,(22) čo vedie k záveru, ako som už uviedol v predchádzajúcich návrhoch, že hoci je ochrana osobných údajov svojou povahou prierezová, harmonizácia vykonaná týmto nariadením je obmedzená na aspekty osobitne upravené uvedeným nariadením v tejto oblasti.(23)

35.      Zo všetkých týchto dôvodov niet podľa môjho názoru pochýb o tom, že osobitná ochrana zodpovednej osoby stanovená v článku 38 ods. 3 druhej vete nariadenia 2016/679 je primeraná účelu tohto nariadenia, keďže posilňuje autonómiu zodpovednej osoby. Nespadá teda do širšieho rozsahu ochrany pracovníkov.(24)

36.      Preto sa opäť nastoľuje otázka, či okrem aspektov, ktoré sú osobitne upravené nariadením 2016/679, majú členské štáty naďalej možnosť prijímať právne predpisy za predpokladu, že nenarušia obsah a ciele tohto nariadenia.(25)

2.      O možnosti členských štátov rozšíriť záruky poskytované zodpovednej osobe podľa článku 38 ods. 3 druhej vety nariadenia 2016/679

37.      Podľa môjho názoru cieľ nariadenia 2016/679 stanovený v jeho odôvodnení 13, podľa ktorého normotvorca Únie vo všeobecnej rovine zaručuje nezávislosť zodpovednej osoby v článku 38 ods. 3 druhej vete tohto nariadenia,(26) odôvodňuje, že členský štát musí mať možnosť prijať akékoľvek iné opatrenie zamerané na posilnenie nezávislosti zodpovednej osoby pri výkone jej úloh.

38.      Táto analýza nie je v rozpore s účinkami nariadenia, ako sú definované v článku 288 druhom odseku ZFEÚ, ani s následnou povinnosťou členských štátov neodchyľovať sa od nariadenia, ktoré je záväzné v celom rozsahu a priamo uplatniteľné, ani ho dopĺňať, pokiaľ ustanovenia tohto nariadenia nepriznávajú členským štátom rozhodovací priestor, ktorý musia, prípadne môžu využiť za podmienok a v medziach stanovených týmito ustanoveniami.(27)

39.      Preto opakujem svoj názor, že rozsah harmonizácie vykonanej nariadením 2016/679 sa mení podľa posudzovaných ustanovení. Určenie normatívneho dosahu tohto nariadenia teda vyžaduje preskúmanie od prípadu k prípadu.(28)

40.      V tejto súvislosti poznamenávam, že článok 38 ods. 3 druhá veta nariadenia 2016/679 sa zaoberá odvolaním zodpovednej osoby z funkcie v rozsahu, v akom je výlučne spojené s výkonom jej úloh, ktoré sa považuje za správne,(29) vo forme zákazu bez toho, aby sa zaviedol stupeň závažnosti uvádzaného dôvodu alebo aby sa zohľadnili rôzne aspekty vzťahu podriadenosti so zamestnávateľom, ktoré môžu mať vplyv na jej určenie za zodpovednú osobu. Nebrala sa teda do úvahy napríklad dĺžka trvania pracovnej zmluvy alebo osobný či ekonomický dôvod jej ukončenia, ktorý môže byť v prípade potreby dohodnutý, alebo tiež prerušenie pracovného pomeru z dôvodu choroby, odbornej prípravy, dovolenky za kalendárny rok či dlhotrvajúcej dovolenky.

41.      Okrem toho zámer normotvorcu Únie ponechať na členské štáty, aby doplnili ustanovenia chrániace nezávislosť zodpovednej osoby na základe minimálneho legislatívneho rámca pre výkon jej úloh, ktorý je vymedzený v súlade s cieľmi nariadenia 2016/679, sa prejavuje aj tým, že neexistuje žiadna požiadavka týkajúca sa dĺžky funkčného obdobia zodpovednej osoby – v rozpore s tým, čo je stanovené v článku 44 ods. 8 prvej vete nariadenia 2018/1725 –(30) alebo týkajúca sa prípadu, ako v prejedávanej veci, reorganizácie podniku, ktorá má za následok outsourcing funkcií zodpovednej osoby z dôvodov, ktoré nesúvisia s výkonom jej úloh.

42.      Členské štáty sa preto môžu rozhodnúť posilniť nezávislosť zodpovednej osoby v rozsahu, v akom sa podieľa na vykonávaní cieľov nariadenia 2016/679, najmä v súvislosti s prepúšťaním, keďže v práve Únie neexistuje žiadne ustanovenie, ktoré by mohlo slúžiť ako základ pre osobitnú a konkrétnu ochranu zodpovednej osoby pred prepustením z dôvodu, ktorý nesúvisí s výkonom jej úloh, zatiaľ čo skončenie pracovného pomeru má nevyhnutne za následok ich ukončenie.

43.      V tejto súvislosti je potrebné pripomenúť, že v oblasti ochrany pracovníkov v prípade ukončenia pracovnej zmluvy sa v článku 153 ods. 1 písm. d) ZFEÚ spresňuje, že Únia podporuje a dopĺňa činnosti členských štátov a že vo všeobecnosti platí, že v oblasti sociálnej politiky majú Únia a členské štáty na základe článku 4 ods. 2 písm. b) ZFEÚ spoločnú právomoc v zmysle článku 2 ods. 2 ZFEÚ, pokiaľ ide o aspekty vymedzené v Zmluve o FEÚ.

44.      Za týchto podmienok každý členský štát môže prijať osobitné ustanovenia týkajúce sa prepustenia zodpovednej osoby za predpokladu, že tieto ustanovenia sú v súlade s režimom ochrany zodpovednej osoby stanoveným v nariadení 2016/679.(31)

45.      Ako vyplýva zo stručného preskúmania právnych predpisov členských štátov, do ktorých som mal možnosť nahliadnuť,(32) väčšina z nich neprijala osobitné ustanovenia týkajúce sa prepúšťania a obmedzila sa na zákaz uvedený v článku 38 ods. 3 druhej vete nariadenia 2016/679, ktorý je priamo uplatniteľný.(33)

46.      Ostatné členské štáty sa však rozhodli tento článok doplniť.(34)

47.      V tejto súvislosti poznamenávam, že pracovná skupina „WP29“ zastávala názor, že „v rámci bežných pravidiel riadenia a rovnako, ako by tomu bolo za podmienok stanovených platným vnútroštátnym zmluvným, pracovným alebo trestným právom v prípade akéhokoľvek iného zamestnanca alebo zmluvného partnera, zodpovedná osoba by mohla byť oprávnene prepustená z dôvodov, ktoré nesúvisia s výkonom jej úloh ako zodpovednej osoby (napríklad v prípade krádeže, fyzického, psychického alebo sexuálneho obťažovania alebo podobného hrubého pochybenia)“(35).

48.      Bez ohľadu na rozhodnutie členských štátov, správny alebo súdny orgán v každom z nich, ktorý je zodpovedný za preskúmanie zákonnosti dôvodu na odvolanie zodpovednej osoby z funkcie, podľa môjho názoru tiež prispieva k zaručeniu nezávislosti zodpovednej osoby.

49.      Keďže je totiž veľmi pravdepodobné, že súvislosť s uspokojivým výkonom úloh zodpovednej osoby nebude výslovne vyplývať z rozhodnutia o odvolaní z funkcie,(36) je možné uvažovať o všeobecnej ochrane založenej na samotnom postavení zodpovednej osoby. V prejednávanej veci z vysvetlení vnútroštátneho súdu vyplýva, že práve pojem „závažný dôvod“, ako ho vykladá nemecké právo, vedie v záujme dodatočnej ochrany k záveru, že pracovný pomer zodpovednej osoby nemožno ukončiť v prípade reštrukturalizácie.(37) V tom istom zmysle by sa okrem iného mohlo konštatovať, že v prípade ekonomických ťažkostí podniku, ktorý je povinný určiť zodpovednú osobu a na tento účel si vybral jedného zo svojich zamestnancov, by sa úlohy tejto zodpovednej osoby mali vzhľadom na cieľ nariadenia 2016/679 a prínos takejto osoby k naplneniu tohto cieľa vykonávať aj naďalej, pokiaľ bude činnosť zamestnávateľa pokračovať.

50.      Zákaz stanovený v článku 38 ods. 3 druhej vete nariadenia 2016/679 má však nevyhnutne obmedzenia v prípade objektívnych pochybení pri výkone úloh zodpovednej osoby v súvislosti s jej povinnosťami. Tieto obmedzenia musia byť stanovené v súlade s cieľom sledovaným týmto nariadením.(38)

51.      Výklad, ktorý je rovnako v súlade s cieľom nariadenia 2016/679, tak podľa môjho názoru musí viesť k tomu, že zodpovedná osoba môže byť odvolaná z funkcie, pokiaľ už nespĺňa kvalitatívne kritériá potrebné na výkon jej úloh, ako sú kritériá uvedené v článku 37 ods. 5 tohto nariadenia, alebo ak neplní povinnosti stanovené v článku 38 ods. 3 prvej a tretej vete a v článku 38 ods. 5 a 6 uvedeného nariadenia,(39) alebo tiež ak sa úroveň jej odborných znalostí ukáže ako nedostatočná.(40)

52.      Preto zastávam názor, že článok 38 ods. 3 druhá veta nariadenia 2016/679 sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá stanovuje, že zamestnávateľ zodpovednej osoby ju môže prepustiť len zo závažného dôvodu, aj keď prepustenie nesúvisí s výkonom povinností tejto zodpovednej osoby.

53.      Ak sa však Súdny dvor nestotožní s týmto názorom a rozhodne sa odpovedať na prvú otázku vnútroštátneho súdu kladne, je potrebné odpovedať na ďalšie dve prejudiciálne otázky.

B.      O druhej prejudiciálnej otázke

54.      Svojou druhou otázkou sa vnútroštátny súd pýta, či článok 38 ods. 3 druhá veta nariadenia 2016/679 bráni vnútroštátnej právnej úprave, podľa ktorej je prepustenie zodpovednej osoby jej zamestnávateľom nezákonné, ak neexistuje závažný dôvod, aj keď toto prepustenie nesúvisí s výkonom jej úloh, pokiaľ určenie zodpovednej osoby nie je povinné na základe článku 37 ods. 1 uvedeného nariadenia, ale výlučne na základe vnútroštátneho práva, ako je stanovené v článku 37 ods. 4 uvedeného nariadenia.

55.      Poznamenávam, že ani článok 38 ods. 3 nariadenia 2016/679, ani ostatné ustanovenia oddielu 4 tohto nariadenia týkajúceho sa zodpovednej osoby nerozlišujú medzi povinným a nepovinným určením zodpovednej osoby.

56.      Preto zastávam názor, že vnútroštátnemu súdu treba odpovedať tak, že článok 38 ods. 3 druhá veta nariadenia 2016/679 sa uplatňuje bez rozdielu, či je zodpovedná osoba povinne určená podľa práva Únie alebo podľa vnútroštátneho práva.

C.      O tretej prejudiciálnej otázke

57.      Svojou treťou otázkou sa vnútroštátny súd pýta na platnosť článku 38 ods. 3 druhej vety nariadenia 2016/679, a osobitne na to, či existuje dostatočný právny základ pre toto ustanovenie, a to najmä v rozsahu, v akom sa týka zodpovedných osôb, ktoré sú s prevádzkovateľom viazaní pracovnou zmluvou.

58.      Navrhujem, aby Súdny dvor rozhodol, že článok 38 ods. 3 druhá veta nariadenia 2016/679 má dostatočný právny základ, keďže jeho jediným účelom je chrániť zodpovednú osobu pred akýmikoľvek prekážkami pri výkone jej úloh a že táto záruka bez ohľadu na existenciu pracovného pomeru prispieva k účinnému dosiahnutiu cieľov tohto nariadenia.

59.      Na jednej strane, ako som totiž vysvetlil v analýze prvej prejudiciálnej otázky,(41) právnym základom uvedeného nariadenia je článok 16 ZFEÚ. Okrem toho Súdny dvor rozhodol, že tento článok predstavuje – bez toho, aby bol dotknutý článok 39 ZEÚ – vhodný právny základ, ak je ochrana osobných údajov jedným z cieľov alebo podstatných prvkov pravidiel prijatých normotvorcom Únie.(42)

60.      Na druhej strane jedna z týchto podmienok je podľa môjho názoru v plnej miere splnená, a to pokiaľ ide o úlohu zodpovednej osoby a jej vedúcich pracovníkov, ako sú definované v nariadení 2016/679. Záruka funkčnej nezávislosti zodpovednej osoby, ktorej cieľom je splniť požiadavku zabezpečenia vysokej úrovne dodržiavania základných práv osôb dotknutých spracovaním osobných údajov,(43) je vyjadrená v článku 38 ods. 3 druhej vete tohto nariadenia, ktorý obsahuje zákaz ukončiť výkon jej funkcie z dôvodov súvisiacich s jej úlohami. Keďže toto ustanovenie nevyžaduje žiadnu harmonizáciu pracovného práva, normotvorca Únie neprekročil normatívne právomoci, ktoré mu boli zverené článkom 16 ods. 2 ZFEÚ.

61.      Pokiaľ ide o dodržiavanie zásad subsidiarity a proporcionality, na ktoré sa vnútroštátny súd tiež pýta, konštatujem po prvé, že nárast cezhraničného spracovania osobných údajov odôvodňuje, aby sa ochrana osobných údajov so zreteľom na základné práva vykonávala na úrovni Únie,(44) a to najmä tým, že sa zaručia výsady zodpovednej osoby, ktorá sa považuje za „kľúčového aktéra“ tejto ochrany.(45) Po druhé sa mi zdá, že článok 38 ods. 3 druhá veta nariadenia 2016/679 neprekračuje rámec toho, čo je potrebné na zaručenie funkčnej nezávislosti zodpovednej osoby. Je pravda, že záruka, že nebude odvolaná z funkcie, ktorá je stanovená v tomto ustanovení, má nevyhnutne vplyv na pracovný pomer. Tento vplyv je však určený len na zachovanie potrebného účinku funkcie zodpovednej osoby.

62.      V dôsledku toho sa domnievam, že vnútroštátnemu súdu treba odpovedať tak, že preskúmanie tretej prejudiciálnej otázky neodhalilo nijakú skutočnosť, ktorá by mohla ovplyvniť platnosť článku 38 ods. 3 druhej vety nariadenia 2016/679.

V.      Návrhy

63.      Vzhľadom na všetky vyššie uvedené úvahy navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré položil Bundesarbeitsgericht (Spolkový pracovný súd, Nemecko), takto:

V prvom rade:

–        Článok 38 ods. 3 druhá veta nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá stanovuje, že zamestnávateľ zodpovednej osoby ju môže prepustiť len zo závažného dôvodu, aj keď prepustenie nesúvisí s výkonom povinností tejto zodpovednej osoby.

Subsidiárne za predpokladu, že Súdny dvor odpovie na prvú otázku kladne:

–        Článok 38 ods. 3 druhá veta nariadenia 2016/679 sa uplatňuje bez rozdielu, či je zodpovedná osoba povinne určená podľa práva Únie alebo podľa vnútroštátneho práva.

–        Preskúmanie tretej prejudiciálnej otázky neodhalilo nijakú skutočnosť, ktorá by mohla ovplyvniť platnosť článku 38 ods. 3 druhej vety nariadenia 2016/679.


1      Jazyk prednesu: francúzština.


2      Ú. v. EÚ L 119, 2016, s. 1.


3      BGBl. 1990 I, s. 2954.


4      BGBl. 2017 I, s. 2097, ďalej len „BDSG“.


5      V § 38 ods. 1 prvej vete BDSG v znení účinnom od 26. novembra 2019 sa počet zamestnancov zvýšil na „20“.


6      BGBl. 2002 I, s. 42, opravené znenie s. 2909, a BGBl. 2003 I, s. 738.


7      Vnútroštátny súd dodal, že podľa jeho judikatúry skutočnosť, že v dôsledku organizačnej zmeny bude ochranu údajov v podniku v budúcnosti zabezpečovať externá zodpovedná osoba, nepredstavuje závažný dôvod pre odvolanie z funkcie [pozri rozsudok Bundesarbeitsgericht (Spolkový pracovný súd) č. 10 AZR 562/09 z 23. marca 2011, bod 18, ktorý je dostupný na tejto internetovej stránke: https://www.bundesarbeitsgericht.de/entscheidung/10‑azr‑562‑09/].


8      Článok 37 tohto nariadenia.


9      Článok 38 uvedeného nariadenia.


10      Článok 39 toho istého nariadenia.


11      Pozri najmä rozsudok z 12. mája 2021, Bundesrepublik Deutschland (Červený obežník Interpolu) (C‑505/19, EU:C:2021:376, bod 77).


12      Kurzívou zvýraznil generálny advokát.


13      V tejto súvislosti v dokumente nazvanom „Usmernenia týkajúce sa zodpovedných osôb“, ktorý bol prijatý 13. decembra 2016 a naposledy revidovaný 5. apríla 2017 a ktorý je dostupný na tejto internetovej stránke: https://ec.europa.eu/newsroom/article29/items/612048/en, pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov zriadená podľa článku 29 smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 13; Mim. vyd. 13/015, s. 355) (ďalej len „pracovná skupina ,WP 29‘“) spresnila, že „postihy môžu mať rôzne podoby a môžu byť priame či nepriame. Mohlo by ísť napríklad o nepovýšenie alebo odklad povýšenia; znemožnenie kariérneho postupu; neposkytnutie zamestnaneckých výhod, ktoré dostávajú ostatní zamestnanci. Tieto postihy sa nemusia skutočne zrealizovať, stačí len hrozba ich použitia na potrestanie zodpovednej osoby za výkon jej činnosti zodpovednej osoby“ (s. 18 a 19). Od nadobudnutia účinnosti nariadenia 2016/679 túto pracovnú skupinu nahradil Európsky výbor pre ochranu údajov (EDPB). Ten schválil usmernenia týkajúce sa zodpovedných osôb na svojom prvom plenárnom zasadnutí 25. mája 2018 (pozri https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).


14      Ako zdôrazňuje LH, okrem nemeckej jazykovej verzie článku 38 ods. 3 druhej vety nariadenia 2016/679 („abberufen“) je v jazykových verziách, ako napríklad v španielčine („destituido“), francúzštine („relevé“) alebo portugalčine („destituído“), jasne uvedené, že toto nariadenie sa týka ukončenia výkonu funkcie zodpovednej osoby, a nie „pracovného pomeru“ („kündigen“ v nemčine). Pozri tiež verziu v anglickom jazyku („dismissed“), talianskom jazyku („rimosso“), poľskom jazyku („odwoływany“) a v rumunskom jazyku („demis“).


15      Pozri poznámku predsedníctva Rady Európskej únie z 3. októbra 2014 k návrhu nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov) [prvé čítanie] – kapitola IV, ktorá je dostupná na tejto internetovej adrese: https://data.consilium.europa.eu/doc/document/ST‑13772‑2014‑INIT/fr/pdf, týkajúcu sa doplnenia článku 36 ods. 3 tohto návrhu o skutočnosť, že zodpovedná osoba nebude za výkon svojich úloh postihovaná (s. 34). Pozri tiež pozíciu Rady v prvom čítaní na účely prijatia nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, a ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) zo 6. apríla 2016, dostupnú na tejto internetovej adrese: https://eur‑lex.europa.eu/legal‑content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, ktorou sa prijalo súčasné znenie článku 38 nariadenia 2016/679.


16      Výraz „nezávisle“ je uvedený v poslednej vete odôvodnenia 97 nariadenia 2016/679.


17      Ú. v. EÚ L 295, 2018, s. 39.


18      Pozri článok 37 ods. 6 nariadenia 2016/679.


19      Pozri pozíciu Rady v prvom čítaní na účely prijatia nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (všeobecné nariadenie o ochrane údajov), a ktorým sa zrušuje smernica 95/46/ES – návrh odôvodneného stanoviska Rady z 31. marca 2016, ktorá je dostupná na tejto internetovej adrese: https://eur‑lex.europa.eu/legal‑content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (s. 22). Pokiaľ ide o hlavnú úlohu zodpovednej osoby pri uplatňovaní nariadenia 2016/679, pozri odôvodnenie 97 tohto nariadenia, ako aj jeho úlohy definované v článku 39 uvedeného nariadenia. V tejto súvislosti pracovná skupina „WP 29“ v usmerneniach týkajúcich sa zodpovedných osôb pripomenula, že pred prijatím nariadenia 2016/679 zastávala názor, že zodpovedná osoba je „základným kameňom zodpovednosti a že určenie zodpovednej osoby môže uľahčiť dodržiavanie predpisov“ (s. 5). Táto pracovná skupina tiež uviedla, že v tomto nariadení sa zodpovedná osoba uznáva „ako kľúčový aktér v novom systéme správy údajov“ (s. 6). Na ilustráciu informačných potrieb prevádzkovateľa alebo jeho sprostredkovateľa, ktoré by mala splniť zodpovedná osoba, pozri rozsudok zo 16. júla 2020, Facebook Ireland a Schrems (C‑311/18, EU:C:2020:559, bod 134).


20      Pozri článok 38 ods. 3 prvú a tretiu vetu nariadenia 2016/679.


21      Pozri článok 38 ods. 5 nariadenia 2016/679.


22      Pozri preambulu a odôvodnenie 12 nariadenia 2016/679, ako aj rozsudok z 15. júna 2021, Facebook Ireland a i. (C‑645/19, EU:C:2021:483, bod 44).


23      Pozri návrhy, ktoré som predniesol vo veci Facebook Ireland (C‑319/20, EU:C:2021:979, bod 51).


24      V tejto súvislosti zastávam názor, že ustanovenia článku 88 ods. 1 uvedeného nariadenia nemožno použiť ako argument na konštatovanie, že predstavujú „ustanovenie o výnimke“.


25      Pozri návrhy, ktoré som predniesol vo veci Facebook Ireland (C‑319/20, EU:C:2021:979, bod 51).


26      Pozri bod 31 vyššie.


27      Pokiaľ ide o nariadenie 2016/679, pozri najmä návrhy, ktoré som predniesol vo veci Facebook Ireland (C‑319/20, EU:C:2021:979, bod 52).


28      Pozri návrhy, ktoré som predniesol vo veci Facebook Ireland (C‑319/20, EU:C:2021:979, bod 52). Okrem toho som už v bode 55 týchto návrhov upozornil Súdny dvor na skutočnosť, že nariadenie 2016/679 obsahuje mnoho ustanovení o výnimke, ktorými toto nariadenie výslovne prenáša normatívnu právomoc na členské štáty, čím sa odlišuje od klasického nariadenia a približuje sa smernici.


29      V tejto súvislosti, ako zdôrazňuje BIELAK‑JOMAA, E.: Artykuł 38. Status inspektora ochrony danych. In: BIELAK‑JOMAA, E., LUBASZ, D.: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. Warszawa: Wolters Kluwer, 2018, s. 794 – 806, najmä bod 5 štvrtý odsek, pracovná skupina „WP 29“ neuviedla nijaké kritérium, ktoré by bolo užitočné pri určovaní správneho alebo nesprávneho výkonu úloh zodpovednej osoby. Rovnako FORET, O.: Le rôle du DPO. In: BENSAMOUN, A., BERTRAND, B.: Le règlement général sur la protection des données, Aspects institutionnels et matériels. Paris: Mare et Martin, 2020, s. 233 – 239, najmä s. 235 a 236, uvádza, že „EDPS vo svojich usmerneniach spresňuje, že…,úroveň odborných znalostí [ktorá sa požaduje na určenie za zodpovednú osobu] nie je presne vymedzená, musí [však] byť úmerná citlivosti, zložitosti a množstvu údajov, ktoré organizácia spracúva…‘“ [pozri usmernenia týkajúce sa zodpovedných osôb (s. 13)]. Pozri tiež s. 14 týchto usmernení. Pozri aj body 50 a 51 nižšie.


30      Pozri BERGT, M.: Art 38. Stellung des Datenschutzbeauftragten. In: KÜHLING, J., BUCHNER, B.: DatenschutzGrundverordnung, Bundesdatenschutzgesetz, Kommentar. 3. vyd., München: C.H. Beck, 2020, najmä bod 29. Tento autor zdôrazňuje, že „na rozdiel od návrhov Komisie a Parlamentu sa v článku 38 nestanovuje minimálne funkčné obdobie, na ktoré musí byť zodpovedná osoba určená“ (voľný preklad).


31      Pozri body 31 a 32 vyššie. Možno dodať, že normotvorca Únie sa zámerne rozhodol pre túto možnosť, keď v rámci legislatívnej práce na nariadení 2016/679 neprijal návrh Európskeho hospodárskeho a sociálneho výboru, aby sa lepšie spresnili „podmienky spojené s funkciou [zodpovednej osoby]…, a to najmä ochrana pred prepustením, ktorá sa musí jasne definovať a zahŕňať aj obdobie, keď už táto osoba túto funkciu nevykonáva“: pozri bod 4.11.1 stanoviska Európskeho hospodárskeho a sociálneho výboru na tému „Návrh nariadenia Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov“ (všeobecné nariadenie o ochrane údajov)“ (Ú. v. EÚ C 229, 2012, s. 90).


32      Pozri najmä informácie, ktoré sú dostupné na týchto internetových adresách: https://www.dlapiperdataprotection.com/index.html?t=data‑protection‑officers&c=HR&c2= a https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.


33      Týka sa to Dánskeho kráľovstva, Írska, Chorvátskej republiky, Talianskej republiky, Cyperskej republiky, Maltskej republiky, Holandského kráľovstva, Rakúskej republiky, Poľskej republiky, Portugalskej republiky, Rumunska a Fínskej republiky. V Chorvátskej republike, na Malte a v Poľskej republike, ako aj v Bulharskej republike sa odvolanie alebo zmena zodpovednej osoby musí oznámiť vnútroštátnemu orgánu na ochranu osobných údajov. V niektorých členských štátoch, ako napríklad vo Francúzskej republike a v Luxemburskom veľkovojvodstve, bolo spresnené, že zodpovedná osoba nemá štatút chráneného zamestnanca, ktorý by poskytoval dodatočnú záruku k záruke stanovenej v nariadení 2016/679.


34      Pozri v belgickom práve článok 6 tretí odsek arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate‑forme de la sécurité et de la protection des données, du 6 décembre 2015 [kráľovské nariadenie zo 6. decembra 2015 o poradcoch pre bezpečnosť a ochranu súkromia a platforme pre bezpečnosť a ochranu údajov] (Moniteur belge z 28. decembra 2015, s. 79268), pred nadobudnutím účinnosti nariadenia 2016/679, podľa ktorého „zamestnávateľ alebo príslušný orgán môže vypovedať zmluvu s poradcom, ukončiť jeho pracovný pomer alebo ho odvolať z funkcie len z dôvodov, ktoré nesúvisia s jeho nezávislosťou, alebo z dôvodov, ktoré preukazujú, že poradca nie je spôsobilý plniť svoje povinnosti“. Kurzívou zvýraznil generálny advokát. Pozri tiež v španielskom práve článok 36 ods. 2 Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (organický zákon č. 3/2018 o ochrane osobných údajov a zaručení digitálnych práv) z 5. decembra 2018 (BOE č. 294 zo 6. decembra 2018, s. 119788), podľa ktorého „ak je zodpovedná osoba fyzickou osobou v rámci organizácie prevádzkovateľa alebo sprostredkovateľa, prevádzkovateľ alebo sprostredkovateľ ju nesmie odvolať z funkcie ani postihovať v súvislosti s výkonom jej povinností, okrem prípadu úmyselného pochybenia alebo hrubej nedbanlivosti pri výkone týchto povinností“. Kurzívou zvýraznil generálny advokát.


35      Pozri usmernenia týkajúce sa zodpovedných osôb (s. 19). Kurzívou zvýraznil generálny advokát.


36      Pozri v tomto zmysle FAJGIELSKI, P.: Artykuł 38. Status inspektora ochrony danych. In: Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Warszawa: Wolters Kluwer, 2018, s. 430 – 437, najmä bod 5 piaty odsek. Pozri tiež KREMER, S.: § 6 Datenschutzbeauftragter. In: LAUE, P., NINK, J., KREMER, S.: Das neue Datenschutzrecht in der betrieblichen Praxis, 2. vyd., Baden‑Baden: Nomos, 2019, najmä bod 36, a BERGT, M.: Art 38. Stellung des Datenschutzbeauftragten. In: c. d., najmä bod 30, ako aj BUSSCHE, A.: Art. 38 DSGVO. In: PLATH, K.‑U.: DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3. vyd., Köln: Otto Schmidt, 2018, najmä bod 19.


37      Pozri poznámku pod čiarou 7.


38      Pozri body 31 vyššie a 60 a 61 nižšie.


39      Pozri bod 31 vyššie. Pozri tiež veci X‑FAB Dresden (C‑453/21) a KISA (C‑560/21), o ktorých v súčasnosti prebieha konanie a v ktorých sa dve rôzne komory Bundesarbeitsgericht (Spolkový pracovný súd) obrátili na Súdny dvor s rovnakými prejudiciálnymi otázkami, ale vo veciach odvolania z funkcie z dôvodu konfliktu záujmov. V prvej z týchto vecí sa doplňujúca otázka týka kritérií takéhoto konfliktu.


40      Pozri v tomto zmysle KREMER, S.: § 6 Datenschutzbeauftragter“. In: c. d., najmä bod 35, ako aj BUSSCHE, A.: Art. 38 DSGVO. In: c. d., najmä bod 17.


41      Pozri bod 34 vyššie.


42      Stanovisko 1/15 (Dohoda PNR medzi EÚ a Kanadou) z 26. júla 2017 (EU:C:2017:592, bod 96).


43      Pozri rozsudok z 15. júna 2021, Facebook Ireland a i. (C‑645/19, EU:C:2021:483, body 44, 45 a 91).


44      Pozri v tomto zmysle rozsudok z 15. júna 2021, Facebook Ireland a i. (C‑645/19, EU:C:2021:483, bod 45 a analogicky bod 47).


45      Pozri poznámku pod čiarou 19 štvrtú vetu vyššie.