SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA
JEANA RICHARDA DE LA TOURA,
predstavljeni 27. januarja 2022(1)
Zadeva C‑534/20
Leistritz AG
proti
LH
(Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesarbeitsgericht (zvezno delovno sodišče, Nemčija))
„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 38(3), drugi stavek – Pooblaščena oseba za varstvo podatkov – Prepoved razrešitve s položaja zaradi opravljanja lastnih nalog – Pravna podlaga – Člen 16 PDEU – Veljavnost – Zahteva po funkcionalni neodvisnosti – Obseg harmonizacije – Nacionalna ureditev, v skladu s katero pooblaščeni osebi za varstvo podatkov ni dovoljeno odpovedati pogodbo o zaposlitvi brez pomembnega razloga – Pooblaščena oseba za varstvo podatkov, katere imenovanje je v skladu z nacionalnim pravom obvezno“
I. Uvod
1. Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesarbeitsgericht (zvezno delovno sodišče, Nemčija), se nanaša na razlago in veljavnost člena 38(3), drugi stavek, Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)(2).
2. Ta predlog je bil vložen v okviru spora med osebo LH in njenim delodajalcem, družbo Leistritz AG, v zvezi s prenehanjem pogodbe te osebe o zaposlitvi zaradi reorganizacije služb družbe, čeprav je v skladu z veljavnim nemškim pravom osebi LH brez upoštevanja odpovednega roka mogoče odpovedati pogodbo o zaposlitvi le iz pomembnega razloga, ker je bila imenovana za pooblaščeno osebo za varstvo podatkov.
3. V teh sklepnih predlogih bom pojasnil razloge, iz katerih menim, da prepoved razrešitve pooblaščene osebe za varstvo podatkov iz člena 38(3), drugi stavek, Uredbe 2016/679 ne izhaja iz harmonizacije materialnih pravil delovnega prava, zaradi česar imajo države članice možnost, da to pooblaščeno osebo dodatno zaščitijo v nacionalnih predpisih na različnih področjih v skladu s ciljem, ki mu sledi ta uredba.
II. Pravni okvir
A. Uredba 2016/679
4. V uvodnih izjavah 10, 13 in 97 Uredbe 2016/679 je navedeno:
„(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v [Evropski u]niji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]
[…]
(13) Da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, tudi mikro, malim in srednjim podjetjem, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. […]
[…]
(97) […] [P]ooblaščena oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.“
5. Člen 1 te uredbe, naslovljen „Predmet urejanja in cilji“, v odstavku 1 določa:
„Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.“
6. Člen 37 Uredbe 2016/679, naslovljen „Imenovanje pooblaščene osebe za varstvo podatkov“, v odstavkih 1, 4 in 6 določa:
„1. Upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar:
(a) obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;
(b) temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali
(c) temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.
[…]
4. V primerih, ki niso navedeni v odstavku 1, upravljavec ali obdelovalec ali združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, smejo imenovati ali, kadar tako zahteva pravo Unije ali pravo države članice, imenujejo pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce.
5. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.
6. Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.“
7. Člen 38 iste uredbe, naslovljen „Položaj pooblaščene osebe za varstvo podatkov“, določa:
„1. Upravljavec in obdelovalec zagotovita, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
[…]
3. Upravljavec in obdelovalec zagotovita, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil. Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.
4. Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi te uredbe.
5. Pooblaščena oseba za varstvo podatkov je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije ali pravom države članice.
6. Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.“
8. Člen 39 Uredbe 2016/679 določa glavne naloge pooblaščene osebe za varstvo podatkov.
B. Nemško pravo
9. Člen 6 Bundesdatenschutzgesetz (zvezni zakon o varstvu podatkov) z dne 20. decembra 1990(3) v različici, ki je veljala od 25. maja 2018 do 25. novembra 2019(4), naslovljen „Položaj“, v odstavku 4 določa:
„Pooblaščeno osebo za varstvo podatkov je mogoče razrešiti samo ob analogni uporabi člena 626 Bürgerliches Gesetzbuch (civilni zakonik). Tej osebi pogodbe o zaposlitvi ni mogoče odpovedati, razen v primeru obstoja dejstev, na podlagi katerih ima oseba javnega prava pravico do odpovedi iz pomembnega razloga brez odpovednega roka. Pooblaščeni osebi za varstvo podatkov pogodbe o zaposlitvi ni mogoče odpovedati eno leto po koncu opravljanja njene funkcije, razen v primerih, v katerih ima oseba javnega prava pravico do odpovedi iz pomembnega razloga brez odpovednega roka.“
10. Člen 38 BDSG, naslovljen „Pooblaščene osebe za varstvo podatkov v osebah zasebnega prava“, določa:
„1. Poleg primerov, ki jih določa člen 37(1)(b) in (c) Uredbe […] 2016/679, upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov, če imata praviloma vsaj deset stalno zaposlenih[(5)] na področju obdelave osebnih podatkov z avtomatiziranimi sredstvi. […]
2. Člen 6(4), (5), drugi stavek, in (6) se uporablja, vendar se člen 6(4) uporablja samo, če je imenovanje pooblaščene osebe za varstvo podatkov obvezno.“
11. Člen 134 civilnega zakonika v različici, ki je bila objavljena 2. januarja 2002(6), naslovljen „Zakonska prepoved“, določa:
„Pravni posel, ki je v nasprotju z zakonsko prepovedjo, je ničen, če zakon ne določa drugače.“
12. Člen 626 tega zakonika, naslovljen „Odpoved iz pomembnega razloga brez odpovednega roka“, določa:
„1. Vsaka pogodbena stranka lahko odpove delovno razmerje iz pomembnega razloga brez odpovednega roka, če obstajajo dejstva, zaradi katerih od stranke, ki odpove delovno razmerje, ob upoštevanju vseh okoliščin posameznega primera in ob tehtanju interesov obeh pogodbenih strank ni mogoče zahtevati nadaljevanja delovnega razmerja do izteka odpovednega roka ali do dogovorjenega prenehanja delovnega razmerja.
2. Pogodbo o zaposlitvi je mogoče odpovedati samo v roku dveh tednov. Rok začne teči, ko pogodbena stranka, ki ima pravico do odpovedi, izve za dejstva, ki so upoštevna za odpoved. […]“
III. Spor o glavni stvari in vprašanja za predhodno odločanje
13. Leistritz je družba zasebnega prava, ki mora po nemškem pravu obvezno imenovati pooblaščeno osebo za varstvo podatkov. Oseba LH je od 15. januarja 2018 pri tej družbi opravljala naloge vodje pravnega oddelka in od 1. februarja 2018 naloge pooblaščene osebe za varstvo podatkov v podjetju.
14. Družba Leistritz je z dopisom z dne 13. julija 2018 osebi LH redno odpovedala pogodbo o zaposlitvi z učinkom od 15. avgusta 2018, pri čemer se je sklicevala na ukrep za prestrukturiranje družbe, v okviru katerega je bilo opravljanje notranjega pravnega svetovanja in službe za varstvo podatkov oddano v zunanje izvajanje.
15. Sodišča nižje stopnje, pri katerih je oseba LH izpodbijala veljavnost odpovedi pogodbe o zaposlitvi, so odločila, da redna odpoved ni veljavna, ker je na podlagi člena 38(2) in člena 6(4), drugi stavek, BDSG osebi LH kot pooblaščeni osebi za varstvo podatkov pogodbo o zaposlitvi mogoče odpovedati samo izredno iz pomembnega razloga. Ukrep za prestrukturiranje, ki ga je opisala družba Leistritz, pa ni pomemben razlog za izredno odpoved.
16. Predložitveno sodišče, ki odloča o reviziji, ki jo je vložila družba Leistritz, ugotavlja, da je v skladu z nemškim pravom odpoved pogodbe o zaposlitvi osebi LH v skladu z navedenimi določbami in členom 134 civilnega zakonika nična.(7) Vendar poudarja, da je uporaba takih določb odvisna od tega, ali je na podlagi prava Unije, zlasti na podlagi člena 38(3), drugi stavek, Uredbe 2016/679, dopustna ureditev države članice, v skladu s katero morajo biti za odpoved pogodbe o zaposlitvi pooblaščeni osebi za varstvo podatkov izpolnjeni strožji pogoji kot na podlagi prava Unije. Če ni tako, bi moralo reviziji ugoditi.
17. V teh okoliščinah je Bundesarbeitsgericht (zvezno delovno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:
„1. Ali je treba člen 38(3), drugi stavek, Uredbe [2016/679] razlagati tako, da nasprotuje nacionalni določbi, kakršna je obravnavani člen 38(1) in (2) v povezavi s členom 6(4), drugi stavek, [BDSG], ki določa, da je redna odpoved pogodbe o zaposlitvi pooblaščeni osebi za varstvo podatkov s strani upravljavca, ki je njen delodajalec, nezakonita, ne glede na to, da je bila odpovedana zaradi opravljanja njenih nalog?
2. Če je odgovor na prvo vprašanje pritrdilen:
Ali člen 38(3), drugi stavek, [Uredbe 2016/679] taki določbi nacionalnega prava nasprotuje tudi, če imenovanje pooblaščene osebe za varstvo podatkov ni obvezno na podlagi člena 37(1) [te uredbe], ampak samo na podlagi prava države članice?
3. Če je odgovor na prvo vprašanje pritrdilen:
Ali člen 38(3), drugi stavek, [Uredbe 2016/679] temelji na zadostni pravni podlagi, zlasti kolikor zajema pooblaščene osebe za varstvo podatkov, ki so v razmerju z upravljavcem na podlagi pogodbe o zaposlitvi?“
18. Pisna stališča so predložili oseba LH, družba Leistritz, nemška in romunska vlada ter Evropski parlament, Svet Evropske unije in Evropska komisija. Na obravnavi 18. novembra 2021 so te stranke, razen nemške in romunske vlade, ustno predstavile stališča.
IV. Analiza
A. Prvo vprašanje za predhodno odločanje
19. Predložitveno sodišče s prvim vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 38(3), drugi stavek, Uredbe 2016/679 razlagati tako, da nasprotuje nacionalni ureditvi, ki določa, da lahko delodajalec pooblaščeni osebi za varstvo podatkov odpove pogodbo o zaposlitvi samo iz pomembnega razloga, tudi če odpoved pogodbe ni povezana z opravljanjem nalog te pooblaščene osebe.
20. Za odgovor na to vprašanje je treba pojasniti, prvič, kaj pomeni izraz „razrešena […] zaradi opravljanja svojih nalog“, ki ga zakonodajalec Unije uporablja v členu 38(3), drugi stavek, Uredbe 2016/679. Drugič, ugotoviti je treba, ali imajo države članice pravico razširiti jamstva, ki so pooblaščeni osebi za varstvo podatkov zagotovljena na podlagi te določbe.
1. Varstvo pooblaščene osebe za varstvo podatkov, določeno v členu 38(3), drugi stavek, Uredbe 2016/679
21. Člen 38 Uredbe 2016/679 spada pod poglavje IV te uredbe, ki se nanaša na „[u]pravljavca in obdelovalca“, natančneje pod oddelek 4, naslovljen „Pooblaščena oseba za varstvo podatkov“. Ta oddelek vsebuje tri člene, in sicer o imenovanju pooblaščene osebe za varstvo podatkov(8), o njenem položaju(9) ter o njenih nalogah, ki zajemajo predvsem osebno svetovanje v zvezi z obdelavo podatkov in spremljanje skladnosti s predpisi o varstvu podatkov(10).
22. Pri razlagi člena 38(3), drugi stavek, Uredbe 2016/679 je treba v skladu z ustaljeno sodno prakso Sodišča upoštevati ne le besedilo te določbe, ampak tudi njeno sobesedilo in cilje, ki jih uresničuje ureditev, katere del je.(11)
23. Glede besedila člena 38(3), drugi stavek, Uredbe 2016/679 ugotavljam, da vsebuje obveznost v negativnem smislu. Določa namreč, da „[p]ooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana [s strani upravljavca ali obdelovalca] zaradi opravljanja svojih nalog“.(12)
24. Ta določba tako določa obseg varstva pooblaščene osebe za varstvo podatkov. Ta oseba je po eni strani zaščitena pred vsako odločitvijo, s katero bi prenehale njene naloge ali bi bila postavljena v slabši položaj, kadar bi bila po drugi strani taka odločitev povezana z opravljanjem njenih nalog.
25. Glede razlikovanja med ukrepom razrešitve pooblaščene osebe za varstvo podatkov in ukrepom kaznovanja te osebe ugotavljam, prvič, da nobena določba Uredbe 2016/679 izrecno ali implicitno ne opredeljuje teh ukrepov.(13)
26. Po primerjalni analizi različnih jezikovnih različic je mogoče šteti, da sta v členu 38(3), drugi stavek, Uredbe 2016/679 navedeni dve vrsti ukrepov, in sicer ukrepi, s katerimi pooblaščeni osebi za varstvo podatkov prenehajo naloge, in ukrepi, ki pomenijo kazni ali to osebo postavljajo v slabši položaj, ne glede na njihov okvir. Zato lahko te opredelitve zajemajo odpovedi, s katerimi delodajalec prekine pogodbo o zaposlitvi.(14)
27. Z rezultati raziskav zakonodajne zgodovine člena 38 Uredbe 2016/679, do katerih sem lahko dostopal, zaradi pomanjkanja podrobnih informacij ni mogoče razjasniti natančnih namenov zakonodajalca Unije glede obsega pojma „razrešena“. Ugotoviti je mogoče le, da je bilo besedilo glede razrešitve dodano pozno v zakonodajnem postopku,(15) v katerem je bil hkrati črtan naslednji del stavka, ki je bil naveden za delom „Upravljavec ali obdelovalec zagotovi, da pooblaščena oseba za varstvo podatkov“: „pri opravljanju svojih nalog deluje neodvisno“.(16) Iz tega bi bilo mogoče sklepati, da je zakonodajalec želel konkretno določiti obveznost, da se pooblaščena oseba za varstvo podatkov zaradi opravljanja svojih nalog ne razreši.
28. Ugotavljam tudi, da se je zakonodajalec Unije odločil uporabiti popolnoma enako besedilo v členu 38(3), drugi stavek, Uredbe 2016/679 in členu 44(3), drugi stavek, Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES(17). Vendar iz dokumentov v zvezi s pripravo Uredbe 2018/1725 ni mogoče razbrati nobenih pojasnil, kar je po mojem mnenju mogoče utemeljiti z dodanim drugim bistvenim jamstvom, zagotovljenim pooblaščeni osebi za varstvo podatkov, v členu 44(8), in sicer da jo „lahko institucija ali organ Unije, ki jo je imenoval, razreši s položaja pooblaščene osebe za varstvo podatkov, če ne izpolnjuje več pogojev, potrebnih za opravljanje njenih dolžnosti[,] in le s soglasjem Evropskega nadzornika za varstvo podatkov“.
29. Drugič, ugotavljam, da v členu 38(3), drugi stavek, Uredbe 2016/679 ni razlikovanja glede na to, ali je pooblaščena oseba za varstvo podatkov član osebja upravljavca ali obdelovalca.(18) Ta uredba namreč ne vsebuje nobene določbe o soodvisnosti med odločitvami, ki bi jih delodajalec sprejel v okviru delovnega razmerja, in odločitvami, ki se nanašajo na položaj te pooblaščene osebe. Edina določena omejitev se nanaša na razlog, iz katerega pooblaščene osebe za varstvo podatkov ni mogoče razrešiti, to je kateri koli razlog v zvezi z opravljanjem njenih nalog.
30. Kar zadeva cilj, ki mu sledi zakonodajalec Unije, ta upravičuje splošno besedilo člena 38(3), drugi stavek, Uredbe 2016/679 in izbiro te omejitve.
31. V osnutku utemeljitve Sveta je namreč navedeno, da je namen imenovanja pooblaščene osebe za varstvo podatkov zagotoviti večjo skladnost z Uredbo 2016/679.(19) Zato člen 38(3), drugi stavek, te uredbe določa obveznosti, ki zagotavljajo neodvisnost te pooblaščene osebe. Tako je v istem členu določeno, da pooblaščena oseba za varstvo podatkov ne sme prejemati nobenih navodil pri opravljanju svojih nalog in da mora poročati neposredno najvišji upravni ravni upravljavca ali obdelovalca.(20) Poleg tega je zavezana varovati skrivnost ali zaupnost.(21)
32. Poudarek je torej na strogi določitvi nalog pooblaščene osebe za varstvo podatkov, kar je še posebej upravičeno, kadar to pooblaščeno osebo za varstvo podatkov imenuje upravljavec, ki je njen delodajalec. Zato so s prepovedjo iz člena 38(3), drugi stavek, Uredbe 2016/679 zagotovljena pooblastila, ki jih ima ta pooblaščena oseba pri opravljanju svojih nalog, ki jih je v nekaterih primerih lahko težko uskladiti s tistimi, ki jih je delodajalec določil v okviru delovnega razmerja.
33. Analizo, da je edini namen te določbe organizirati neodvisno opravljanje nalog pooblaščene osebe za varstvo podatkov, potrjuje kontekst, v katerem je bila ta določba sprejeta.
34. V zvezi s tem je treba poudariti, da je v skladu s členom 1 Uredbe 2016/679 namen te uredbe določiti pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku teh podatkov. Tako je bila sprejeta na podlagi člena 16(2) PDEU,(22) zaradi česar je mogoče ugotoviti, kot sem že navedel v prejšnjih sklepnih predlogih, da je, čeprav ima varstvo osebnih podatkov horizontalen značaj, v tem smislu harmonizacija, ki se izvaja s to uredbo, omejena na vidike, ki so na tem področju posebej zajeti s to uredbo.(23)
35. Iz vseh teh razlogov po mojem mnenju ni dvoma, da je posebno varstvo pooblaščene osebe za varstvo podatkov, določeno v členu 38(3), drugi stavek, Uredbe 2016/679, specifično za namen te uredbe, ker krepi avtonomijo te pooblaščene osebe. Zato ne spada na širše področje varstva delavcev.(24)
36. Tako se ponovno postavlja vprašanje, ali lahko države članice zunaj vidikov, ki so posebej zajeti z Uredbo 2016/679, še naprej sprejemajo zakonodajo, če ne posegajo v vsebino in cilje te uredbe.(25)
2. Možnost držav članic, da razširijo jamstva, ki so pooblaščeni osebi za varstvo podatkov dana v členu 38(3), drugi stavek, Uredbe 2016/679
37. Menim, da cilj Uredbe 2016/679, naveden v uvodni izjavi 13 te uredbe, v skladu s katero zakonodajalec Unije v členu 38(3), drugi stavek, te uredbe na splošno zagotavlja neodvisnost pooblaščene osebe za varstvo podatkov,(26) upravičuje, da mora država članica imeti možnost sprejeti kateri koli drug ukrep za krepitev neodvisnosti te pooblaščene osebe pri opravljanju njenih nalog.
38. Ta analiza ni v nasprotju z učinki uredbe, kot so opredeljeni v členu 288, drugi odstavek, PDEU, niti z naknadno obveznostjo držav članic, da ne odstopajo od uredbe, ki je v celoti zavezujoča in se neposredno uporablja, oziroma da je ne dopolnjujejo, razen če imajo države članice na podlagi določb te uredbe manevrski prostor, ki ga po potrebi morajo ali smejo uporabiti pod pogoji in v mejah, določenih v teh določbah.(27)
39. Zato ponavljam svoje stališče, da se obseg harmonizacije, izvedene z Uredbo 2016/679, razlikuje glede na obravnavane določbe. Za določitev normativnega obsega te uredbe je torej treba preučiti vsak primer posebej.(28)
40. V zvezi s tem ugotavljam, da se člen 38(3), drugi stavek, Uredbe 2016/679 nanaša na razrešitev pooblaščene osebe za varstvo podatkov samo v povezavi z domnevno pravilnim(29) opravljanjem njenih nalog v obliki prepovedi, ne da bi se uvedla stopnja resnosti navedenega razloga ali upoštevali različni vidiki razmerja podrejenosti z delodajalcem, ki bi lahko vplivali na imenovanje navedene osebe. Tako na primer ni bilo upoštevano trajanje pogodbe o zaposlitvi ali osebni oziroma ekonomski razlog za odpoved te pogodbe, o kateri se je mogoče po potrebi pogajati, ali prekinitev delovnega razmerja zaradi bolezni, usposabljanja, letnega dopusta ali dolgotrajnega dopusta.
41. Poleg tega na namen zakonodajalca Unije, da državam članicam prepusti dopolnitev določb o varstvu neodvisnosti pooblaščene osebe za varstvo podatkov na podlagi minimalnega zakonodajnega okvira o opravljanju njenih nalog, opredeljenega v skladu s cilji Uredbe 2016/679, kaže tudi neobstoj določb glede trajanja mandata te pooblaščene osebe – v nasprotju s tem, kar določa člen 44(8), prvi stavek, Uredbe 2018/1725 –(30) ali glede, kot v obravnavani zadevi, reorganizacije podjetja, katere posledica je zunanje izvajanje nalog pooblaščene osebe za varstvo podatkov iz razlogov, ki niso povezani z opravljanjem njene naloge.
42. Zato se lahko države članice odločijo, da bodo okrepile neodvisnost pooblaščene osebe za varstvo podatkov, saj ta prispeva k izvajanju ciljev Uredbe 2016/679, zlasti v zvezi z odpovedjo pogodbe o zaposlitvi, kadar ni nobene določbe prava Unije, ki bi bila lahko podlaga za posebno in konkretno varstvo te osebe pred odpovedjo pogodbe o zaposlitvi iz razloga, ki ni povezan z opravljanjem njenih nalog, medtem ko je posledica prenehanja delovnega razmerja nujno prenehanje opravljanja njenih nalog.
43. V zvezi s tem je treba spomniti, da člen 153(1)(d) PDEU na področju varstva delavcev v primeru prenehanja pogodbe o zaposlitvi določa, da Unija podpira in dopolnjuje dejavnosti držav članic, ter splošneje, da v skladu s členom 4(2)(b) PDEU na področju socialne politike glede vidikov, opredeljenih v tej pogodbi, velja deljena pristojnost med Unijo in državami članicami v smislu člena 2(2) PDEU.
44. V teh okoliščinah lahko vsaka država članica prosto določi posebne določbe o odpovedi pogodbe o zaposlitvi pooblaščeni osebi za varstvo podatkov, če so te določbe združljive s sistemom varstva pooblaščene osebe iz Uredbe 2016/679.(31)
45. Kot je razvidno iz kratke analize predpisov držav članic, ki mi jih je uspelo preveriti,(32) večina od njih ni sprejela posebnih določb v zvezi z odpovedjo pogodbe o zaposlitvi in se je omejila na prepoved iz člena 38(3), drugi stavek, Uredbe 2016/679, ki se neposredno uporablja.(33)
46. Druge države članice pa so se odločile za dopolnitev tega člena.(34)
47. V zvezi s tem ugotavljam, da je delovna skupina „člen 29“ menila, da je „[k]ot pravilo običajnega upravljanja in kot bi veljalo za vsakega drugega zaposlenega ali izvajalca v skladu z nacionalnim pogodbenim ali delovnim in kazenskim pravom, ki veljajo zanj, […] mogoče pooblaščeni osebi za varstvo podatkov vseeno zakonito odpovedati pogodbo o zaposlitvi iz razlogov, ki niso povezani z izvajanjem njenih nalog v tej funkciji (na primer zaradi kraje, fizičnega, psihološkega in spolnega nadlegovanja ali podobne hude kršitve)“.(35)
48. Ne glede na izbiro držav članic upravni ali sodni organ v vsaki od njih, pristojen za nadzor zakonitosti razlogov za razrešitev pooblaščene osebe za varstvo podatkov, po mojem mnenju prispeva tudi k zagotavljanju neodvisnosti te pooblaščene osebe.
49. Ker je namreč zelo verjetno, da povezava z zadovoljivim opravljanjem nalog pooblaščene osebe za varstvo podatkov ne bo izrecno posledica odločitve o njeni razrešitvi,(36) je mogoče predvideti splošno varstvo, ki temelji samo na statusu pooblaščene osebe za varstvo podatkov. V obravnavani zadevi iz pojasnil predložitvenega sodišča izhaja, da se na podlagi pojma „pomemben razlog“, kot se razlaga v nemškem pravu, za ugotovitev dodatnega varstva šteje, da zaradi prestrukturiranja pooblaščeni osebi za varstvo podatkov ne morejo prenehati naloge.(37) V istem smislu bi bilo poleg tega mogoče šteti, da bi bilo treba v primeru gospodarskih težav podjetja, ki mora imenovati pooblaščeno osebo za varstvo podatkov in je za to izbralo enega od svojih zaposlenih, naloge tega zaposlenega zaradi cilja Uredbe 2016/679 in prispevka take pooblaščene osebe k njegovemu izpolnjevanju še naprej izvajati, dokler se dejavnost delodajalca nadaljuje.
50. Vendar ima prepoved iz člena 38(3), drugi stavek, Uredbe 2016/679 nujno omejitve v primeru objektivnih napak pooblaščene osebe za varstvo podatkov pri opravljanju njenih nalog glede na njene obveznosti. Te omejitve je treba določiti v skladu s ciljem, ki mu sledi ta uredba.(38)
51. Tako mora po mojem mnenju razlaga, ki je prav tako skladna s ciljem Uredbe 2016/679, privesti do tega, da je pooblaščeno osebo za varstvo podatkov mogoče razrešiti s položaja, če ne izpolnjuje več meril kakovosti, potrebnih za opravljanje njenih nalog, kot so tista iz člena 37(5) te uredbe, ali obveznosti iz člena 38(3), prvi in tretji stavek, ter člena 38(5) in (6) navedene uredbe(39) oziroma če se raven njenega strokovnega znanja izkaže za nezadostno.(40)
52. Zato menim, da je treba člen 38(3), drugi stavek, Uredbe 2016/679 razlagati tako, da ne nasprotuje nacionalni ureditvi, ki določa, da lahko delodajalec pooblaščeni osebi za varstvo podatkov odpove pogodbo o zaposlitvi samo iz pomembnega razloga, tudi če odpoved pogodbe ni povezana z opravljanjem nalog te pooblaščene osebe.
53. Če pa se Sodišče s tem stališčem ne bi strinjalo in bi na prvo vprašanje predložitvenega sodišča odgovorilo pritrdilno, bi bilo treba odgovoriti na drugi dve vprašanji za predhodno odločanje.
B. Drugo vprašanje za predhodno odločanje
54. Predložitveno sodišče želi z drugim vprašanjem izvedeti, ali člen 38(3), drugi stavek, Uredbe 2016/679 nasprotuje nacionalni ureditvi, v skladu s katero je odpoved pogodbe o zaposlitvi pooblaščeni osebi za varstvo podatkov s strani njenega delodajalca brez pomembnega razloga nezakonita, tudi če ta odpoved ni povezana z opravljanjem njenih nalog, če imenovanje pooblaščene osebe za varstvo podatkov ni obvezno na podlagi člena 37(1) te uredbe, ampak le na podlagi nacionalnega prava, kot določa člen 37(4) te uredbe.
55. Ugotavljam, da niti v členu 38(3) Uredbe 2016/679 niti v drugih določbah oddelka 4 te uredbe, ki se nanaša na pooblaščeno osebo za varstvo podatkov, ni razlikovanja glede na to, ali je imenovanje te pooblaščene osebe obvezno ali neobvezno.
56. Zato menim, da je treba predložitvenemu sodišču odgovoriti, da se člen 38(3), drugi stavek, Uredbe 2016/679 uporablja, ne da bi bilo treba razlikovati, ali je imenovanje pooblaščene osebe za varstvo podatkov obvezno na podlagi prava Unije ali na podlagi nacionalnega prava.
C. Tretje vprašanje za predhodno odločanje
57. Predložitveno sodišče s tretjim vprašanjem sprašuje o veljavnosti člena 38(3), drugi stavek, Uredbe 2016/679 in, natančneje, o tem, ali ta določba temelji na zadostni pravni podlagi, zlasti kolikor se nanaša na pooblaščene osebe za varstvo podatkov, ki so vezane na upravljavca na podlagi pogodbe o zaposlitvi.
58. Sodišču predlagam, naj ugotovi, da člen 38(3), drugi stavek, Uredbe 2016/679 temelji na zadostni pravni podlagi, ker je njegov namen le zavarovati pooblaščeno osebo za varstvo podatkov pred vsemi ovirami pri opravljanju njenih nalog in ker to jamstvo ne glede na obstoj delovnega razmerja prispeva k učinkovitemu doseganju ciljev te uredbe.
59. Po eni strani namreč, kot sem pojasnil v okviru analize prvega vprašanja za predhodno odločanje,(41) je pravna podlaga, na kateri temelji ta uredba, člen 16 PDEU. Poleg tega je Sodišče razsodilo, da ta člen brez poseganja v člen 39 PEU pomeni ustrezno pravno podlago, kadar je varstvo osebnih podatkov eden od bistvenih ciljev ali sestavnih delov pravil, ki jih je sprejel zakonodajalec Unije.(42)
60. Po drugi strani menim, da je glede vloge pooblaščene osebe za varstvo podatkov in ureditve te vloge, kot sta opredeljeni v Uredbi 2016/679, eden od teh pogojev v celoti izpolnjen. Jamstvo funkcionalne neodvisnosti te pooblaščene osebe, ki je namenjeno izpolnjevanju zahteve, da se zagotovi visoka raven spoštovanja temeljnih pravic posameznikov, na katere se nanaša obdelava osebnih podatkov,(43) je bilo v členu 38(3), drugi stavek, te uredbe izraženo s prepovedjo razrešitve navedene osebe iz razlogov, povezanih z njenimi nalogami. Ker ta določba ne zahteva harmonizacije v delovnem pravu, zakonodajalec Unije ni prekoračil zakonodajnih pooblastil, ki so mu podeljena s členom 16(2) PDEU.
61. Glede spoštovanja načel subsidiarnosti in sorazmernosti, o katerih se predložitveno sodišče prav tako sprašuje, ugotavljam, prvič, da povečanje čezmejne obdelave osebnih podatkov upravičuje, da se varstvo osebnih podatkov glede na temeljne pravice izvaja na ravni Unije,(44) zlasti z zagotavljanjem posebnih pooblastil pooblaščene osebe za varstvo podatkov, ki se šteje za „ključnega akterja“ tega varstva.(45) Drugič, zdi se mi, da člen 38(3), drugi stavek, Uredbe 2016/679 ne presega tega, kar je potrebno za zagotovitev funkcionalne neodvisnosti te pooblaščene osebe. Res je, da jamstvo, da ne bo razrešena, določeno v tej določbi, nujno vpliva na delovno razmerje. Vendar je to vplivanje namenjeno le ohranjanju polnega učinka funkcije pooblaščene osebe za varstvo podatkov.
62. Zato menim, da je treba predložitvenemu sodišču odgovoriti, da pri preučitvi tretjega vprašanja za predhodno odločanje ni bil ugotovljen noben element, ki bi vplival na veljavnost člena 38(3), drugi stavek, Uredbe 2016/679.
V. Predlog
63. Glede na vse zgornje preudarke Sodišču predlagam, naj na vprašanja za predhodno odločanje, ki jih je postavilo Bundesarbeitsgericht (zvezno delovno sodišče, Nemčija), odgovori:
Primarno:
– Člen 38(3), drugi stavek, Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) je treba razlagati tako, da ne nasprotuje nacionalni ureditvi, ki določa, da lahko delodajalec pooblaščeni osebi za varstvo podatkov odpove pogodbo o zaposlitvi samo iz pomembnega razloga, tudi če odpoved pogodbe ni povezana z opravljanjem nalog te pooblaščene osebe.
Podredno, če bi Sodišče na prvo vprašanje za predhodno odločanje odgovorilo pritrdilno:
– Člen 38(3), drugi stavek, Uredbe 2016/679 se uporablja, ne da bi bilo treba razlikovati, ali je imenovanje pooblaščene osebe za varstvo podatkov obvezno na podlagi prava Unije ali na podlagi nacionalnega prava.
– Pri preučitvi tretjega vprašanja za predhodno odločanje ni bil ugotovljen noben element, ki bi vplival na veljavnost člena 38(3), drugi stavek, Uredbe 2016/679.