CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:62

SKLEPNI PREDLOGI GENERALNEGA PRAVOBRANILCA

JEANA RICHARDA DE LA TOURA,

predstavljeni 27. januarja 2022(1)

Zadeva C‑534/20

Leistritz AG

proti

(Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesarbeitsgericht (zvezno delovno sodišče, Nemčija))

„Predhodno odločanje – Varstvo posameznikov pri obdelavi osebnih podatkov – Uredba (EU) 2016/679 – Člen 38(3), drugi stavek – Pooblaščena oseba za varstvo podatkov – Prepoved razrešitve s položaja zaradi opravljanja lastnih nalog – Pravna podlaga – Člen 16 PDEU – Veljavnost – Zahteva po funkcionalni neodvisnosti – Obseg harmonizacije – Nacionalna ureditev, v skladu s katero pooblaščeni osebi za varstvo podatkov ni dovoljeno odpovedati pogodbo o zaposlitvi brez pomembnega razloga – Pooblaščena oseba za varstvo podatkov, katere imenovanje je v skladu z nacionalnim pravom obvezno“

I. Uvod

1. Predlog za sprejetje predhodne odločbe, ki ga je vložilo Bundesarbeitsgericht (zvezno delovno sodišče, Nemčija), se nanaša na razlago in veljavnost člena 38(3), drugi stavek, Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)(2).

2. Ta predlog je bil vložen v okviru spora med osebo LH in njenim delodajalcem, družbo Leistritz AG, v zvezi s prenehanjem pogodbe te osebe o zaposlitvi zaradi reorganizacije služb družbe, čeprav je v skladu z veljavnim nemškim pravom osebi LH brez upoštevanja odpovednega roka mogoče odpovedati pogodbo o zaposlitvi le iz pomembnega razloga, ker je bila imenovana za pooblaščeno osebo za varstvo podatkov.

3. V teh sklepnih predlogih bom pojasnil razloge, iz katerih menim, da prepoved razrešitve pooblaščene osebe za varstvo podatkov iz člena 38(3), drugi stavek, Uredbe 2016/679 ne izhaja iz harmonizacije materialnih pravil delovnega prava, zaradi česar imajo države članice možnost, da to pooblaščeno osebo dodatno zaščitijo v nacionalnih predpisih na različnih področjih v skladu s ciljem, ki mu sledi ta uredba.

II. Pravni okvir

A. Uredba 2016/679

4. V uvodnih izjavah 10, 13 in 97 Uredbe 2016/679 je navedeno:

„(10) Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v [Evropski u]niji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. […]

[…]

(13) Da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, tudi mikro, malim in srednjim podjetjem, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. […]

[…]

(97) […] [P]ooblaščena oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.“

5. Člen 1 te uredbe, naslovljen „Predmet urejanja in cilji“, v odstavku 1 določa:

„Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.“

6. Člen 37 Uredbe 2016/679, naslovljen „Imenovanje pooblaščene osebe za varstvo podatkov“, v odstavkih 1, 4 in 6 določa:

„1. Upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar:

(a) obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

(b) temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

(c) temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

[…]

4. V primerih, ki niso navedeni v odstavku 1, upravljavec ali obdelovalec ali združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, smejo imenovati ali, kadar tako zahteva pravo Unije ali pravo države članice, imenujejo pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce.

5. Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.

6. Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.“

7. Člen 38 iste uredbe, naslovljen „Položaj pooblaščene osebe za varstvo podatkov“, določa:

„1. Upravljavec in obdelovalec zagotovita, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

[…]

3. Upravljavec in obdelovalec zagotovita, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil. Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.

4. Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi te uredbe.

5. Pooblaščena oseba za varstvo podatkov je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije ali pravom države članice.

6. Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.“

8. Člen 39 Uredbe 2016/679 določa glavne naloge pooblaščene osebe za varstvo podatkov.

B. Nemško pravo

9. Člen 6 Bundesdatenschutzgesetz (zvezni zakon o varstvu podatkov) z dne 20. decembra 1990(3) v različici, ki je veljala od 25. maja 2018 do 25. novembra 2019(4), naslovljen „Položaj“, v odstavku 4 določa:

„Pooblaščeno osebo za varstvo podatkov je mogoče razrešiti samo ob analogni uporabi člena 626 Bürgerliches Gesetzbuch (civilni zakonik). Tej osebi pogodbe o zaposlitvi ni mogoče odpovedati, razen v primeru obstoja dejstev, na podlagi katerih ima oseba javnega prava pravico do odpovedi iz pomembnega razloga brez odpovednega roka. Pooblaščeni osebi za varstvo podatkov pogodbe o zaposlitvi ni mogoče odpovedati eno leto po koncu opravljanja njene funkcije, razen v primerih, v katerih ima oseba javnega prava pravico do odpovedi iz pomembnega razloga brez odpovednega roka.“

10. Člen 38 BDSG, naslovljen „Pooblaščene osebe za varstvo podatkov v osebah zasebnega prava“, določa:

„1. Poleg primerov, ki jih določa člen 37(1)(b) in (c) Uredbe […] 2016/679, upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov, če imata praviloma vsaj deset stalno zaposlenih[(5)] na področju obdelave osebnih podatkov z avtomatiziranimi sredstvi. […]

2. Člen 6(4), (5), drugi stavek, in (6) se uporablja, vendar se člen 6(4) uporablja samo, če je imenovanje pooblaščene osebe za varstvo podatkov obvezno.“

11. Člen 134 civilnega zakonika v različici, ki je bila objavljena 2. januarja 2002(6), naslovljen „Zakonska prepoved“, določa:

„Pravni posel, ki je v nasprotju z zakonsko prepovedjo, je ničen, če zakon ne določa drugače.“

12. Člen 626 tega zakonika, naslovljen „Odpoved iz pomembnega razloga brez odpovednega roka“, določa:

„1. Vsaka pogodbena stranka lahko odpove delovno razmerje iz pomembnega razloga brez odpovednega roka, če obstajajo dejstva, zaradi katerih od stranke, ki odpove delovno razmerje, ob upoštevanju vseh okoliščin posameznega primera in ob tehtanju interesov obeh pogodbenih strank ni mogoče zahtevati nadaljevanja delovnega razmerja do izteka odpovednega roka ali do dogovorjenega prenehanja delovnega razmerja.

2. Pogodbo o zaposlitvi je mogoče odpovedati samo v roku dveh tednov. Rok začne teči, ko pogodbena stranka, ki ima pravico do odpovedi, izve za dejstva, ki so upoštevna za odpoved. […]“

III. Spor o glavni stvari in vprašanja za predhodno odločanje

13. Leistritz je družba zasebnega prava, ki mora po nemškem pravu obvezno imenovati pooblaščeno osebo za varstvo podatkov. Oseba LH je od 15. januarja 2018 pri tej družbi opravljala naloge vodje pravnega oddelka in od 1. februarja 2018 naloge pooblaščene osebe za varstvo podatkov v podjetju.

14. Družba Leistritz je z dopisom z dne 13. julija 2018 osebi LH redno odpovedala pogodbo o zaposlitvi z učinkom od 15. avgusta 2018, pri čemer se je sklicevala na ukrep za prestrukturiranje družbe, v okviru katerega je bilo opravljanje notranjega pravnega svetovanja in službe za varstvo podatkov oddano v zunanje izvajanje.

15. Sodišča nižje stopnje, pri katerih je oseba LH izpodbijala veljavnost odpovedi pogodbe o zaposlitvi, so odločila, da redna odpoved ni veljavna, ker je na podlagi člena 38(2) in člena 6(4), drugi stavek, BDSG osebi LH kot pooblaščeni osebi za varstvo podatkov pogodbo o zaposlitvi mogoče odpovedati samo izredno iz pomembnega razloga. Ukrep za prestrukturiranje, ki ga je opisala družba Leistritz, pa ni pomemben razlog za izredno odpoved.

16. Predložitveno sodišče, ki odloča o reviziji, ki jo je vložila družba Leistritz, ugotavlja, da je v skladu z nemškim pravom odpoved pogodbe o zaposlitvi osebi LH v skladu z navedenimi določbami in členom 134 civilnega zakonika nična.(7) Vendar poudarja, da je uporaba takih določb odvisna od tega, ali je na podlagi prava Unije, zlasti na podlagi člena 38(3), drugi stavek, Uredbe 2016/679, dopustna ureditev države članice, v skladu s katero morajo biti za odpoved pogodbe o zaposlitvi pooblaščeni osebi za varstvo podatkov izpolnjeni strožji pogoji kot na podlagi prava Unije. Če ni tako, bi moralo reviziji ugoditi.

17. V teh okoliščinah je Bundesarbeitsgericht (zvezno delovno sodišče) prekinilo odločanje in Sodišču v predhodno odločanje predložilo ta vprašanja:

„1. Ali je treba člen 38(3), drugi stavek, Uredbe [2016/679] razlagati tako, da nasprotuje nacionalni določbi, kakršna je obravnavani člen 38(1) in (2) v povezavi s členom 6(4), drugi stavek, [BDSG], ki določa, da je redna odpoved pogodbe o zaposlitvi pooblaščeni osebi za varstvo podatkov s strani upravljavca, ki je njen delodajalec, nezakonita, ne glede na to, da je bila odpovedana zaradi opravljanja njenih nalog?

2. Če je odgovor na prvo vprašanje pritrdilen:

Ali člen 38(3), drugi stavek, [Uredbe 2016/679] taki določbi nacionalnega prava nasprotuje tudi, če imenovanje pooblaščene osebe za varstvo podatkov ni obvezno na podlagi člena 37(1) [te uredbe], ampak samo na podlagi prava države članice?

3. Če je odgovor na prvo vprašanje pritrdilen:

Ali člen 38(3), drugi stavek, [Uredbe 2016/679] temelji na zadostni pravni podlagi, zlasti kolikor zajema pooblaščene osebe za varstvo podatkov, ki so v razmerju z upravljavcem na podlagi pogodbe o zaposlitvi?“

18. Pisna stališča so predložili oseba LH, družba Leistritz, nemška in romunska vlada ter Evropski parlament, Svet Evropske unije in Evropska komisija. Na obravnavi 18. novembra 2021 so te stranke, razen nemške in romunske vlade, ustno predstavile stališča.

IV. Analiza

A. Prvo vprašanje za predhodno odločanje

19. Predložitveno sodišče s prvim vprašanjem za predhodno odločanje v bistvu sprašuje, ali je treba člen 38(3), drugi stavek, Uredbe 2016/679 razlagati tako, da nasprotuje nacionalni ureditvi, ki določa, da lahko delodajalec pooblaščeni osebi za varstvo podatkov odpove pogodbo o zaposlitvi samo iz pomembnega razloga, tudi če odpoved pogodbe ni povezana z opravljanjem nalog te pooblaščene osebe.

20. Za odgovor na to vprašanje je treba pojasniti, prvič, kaj pomeni izraz „razrešena […] zaradi opravljanja svojih nalog“, ki ga zakonodajalec Unije uporablja v členu 38(3), drugi stavek, Uredbe 2016/679. Drugič, ugotoviti je treba, ali imajo države članice pravico razširiti jamstva, ki so pooblaščeni osebi za varstvo podatkov zagotovljena na podlagi te določbe.

1. Varstvo pooblaščene osebe za varstvo podatkov, določeno v členu 38(3), drugi stavek, Uredbe 2016/679

21. Člen 38 Uredbe 2016/679 spada pod poglavje IV te uredbe, ki se nanaša na „[u]pravljavca in obdelovalca“, natančneje pod oddelek 4, naslovljen „Pooblaščena oseba za varstvo podatkov“. Ta oddelek vsebuje tri člene, in sicer o imenovanju pooblaščene osebe za varstvo podatkov(8), o njenem položaju(9) ter o njenih nalogah, ki zajemajo predvsem osebno svetovanje v zvezi z obdelavo podatkov in spremljanje skladnosti s predpisi o varstvu podatkov(10).

22. Pri razlagi člena 38(3), drugi stavek, Uredbe 2016/679 je treba v skladu z ustaljeno sodno prakso Sodišča upoštevati ne le besedilo te določbe, ampak tudi njeno sobesedilo in cilje, ki jih uresničuje ureditev, katere del je.(11)

23. Glede besedila člena 38(3), drugi stavek, Uredbe 2016/679 ugotavljam, da vsebuje obveznost v negativnem smislu. Določa namreč, da „[p]ooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana [s strani upravljavca ali obdelovalca] zaradi opravljanja svojih nalog“.(12)

24. Ta določba tako določa obseg varstva pooblaščene osebe za varstvo podatkov. Ta oseba je po eni strani zaščitena pred vsako odločitvijo, s katero bi prenehale njene naloge ali bi bila postavljena v slabši položaj, kadar bi bila po drugi strani taka odločitev povezana z opravljanjem njenih nalog.

25. Glede razlikovanja med ukrepom razrešitve pooblaščene osebe za varstvo podatkov in ukrepom kaznovanja te osebe ugotavljam, prvič, da nobena določba Uredbe 2016/679 izrecno ali implicitno ne opredeljuje teh ukrepov.(13)

26. Po primerjalni analizi različnih jezikovnih različic je mogoče šteti, da sta v členu 38(3), drugi stavek, Uredbe 2016/679 navedeni dve vrsti ukrepov, in sicer ukrepi, s katerimi pooblaščeni osebi za varstvo podatkov prenehajo naloge, in ukrepi, ki pomenijo kazni ali to osebo postavljajo v slabši položaj, ne glede na njihov okvir. Zato lahko te opredelitve zajemajo odpovedi, s katerimi delodajalec prekine pogodbo o zaposlitvi.(14)

27. Z rezultati raziskav zakonodajne zgodovine člena 38 Uredbe 2016/679, do katerih sem lahko dostopal, zaradi pomanjkanja podrobnih informacij ni mogoče razjasniti natančnih namenov zakonodajalca Unije glede obsega pojma „razrešena“. Ugotoviti je mogoče le, da je bilo besedilo glede razrešitve dodano pozno v zakonodajnem postopku,(15) v katerem je bil hkrati črtan naslednji del stavka, ki je bil naveden za delom „Upravljavec ali obdelovalec zagotovi, da pooblaščena oseba za varstvo podatkov“: „pri opravljanju svojih nalog deluje neodvisno“.(16) Iz tega bi bilo mogoče sklepati, da je zakonodajalec želel konkretno določiti obveznost, da se pooblaščena oseba za varstvo podatkov zaradi opravljanja svojih nalog ne razreši.

28. Ugotavljam tudi, da se je zakonodajalec Unije odločil uporabiti popolnoma enako besedilo v členu 38(3), drugi stavek, Uredbe 2016/679 in členu 44(3), drugi stavek, Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES(17). Vendar iz dokumentov v zvezi s pripravo Uredbe 2018/1725 ni mogoče razbrati nobenih pojasnil, kar je po mojem mnenju mogoče utemeljiti z dodanim drugim bistvenim jamstvom, zagotovljenim pooblaščeni osebi za varstvo podatkov, v členu 44(8), in sicer da jo „lahko institucija ali organ Unije, ki jo je imenoval, razreši s položaja pooblaščene osebe za varstvo podatkov, če ne izpolnjuje več pogojev, potrebnih za opravljanje njenih dolžnosti[,] in le s soglasjem Evropskega nadzornika za varstvo podatkov“.

29. Drugič, ugotavljam, da v členu 38(3), drugi stavek, Uredbe 2016/679 ni razlikovanja glede na to, ali je pooblaščena oseba za varstvo podatkov član osebja upravljavca ali obdelovalca.(18) Ta uredba namreč ne vsebuje nobene določbe o soodvisnosti med odločitvami, ki bi jih delodajalec sprejel v okviru delovnega razmerja, in odločitvami, ki se nanašajo na položaj te pooblaščene osebe. Edina določena omejitev se nanaša na razlog, iz katerega pooblaščene osebe za varstvo podatkov ni mogoče razrešiti, to je kateri koli razlog v zvezi z opravljanjem njenih nalog.

30. Kar zadeva cilj, ki mu sledi zakonodajalec Unije, ta upravičuje splošno besedilo člena 38(3), drugi stavek, Uredbe 2016/679 in izbiro te omejitve.

31. V osnutku utemeljitve Sveta je namreč navedeno, da je namen imenovanja pooblaščene osebe za varstvo podatkov zagotoviti večjo skladnost z Uredbo 2016/679.(19) Zato člen 38(3), drugi stavek, te uredbe določa obveznosti, ki zagotavljajo neodvisnost te pooblaščene osebe. Tako je v istem členu določeno, da pooblaščena oseba za varstvo podatkov ne sme prejemati nobenih navodil pri opravljanju svojih nalog in da mora poročati neposredno najvišji upravni ravni upravljavca ali obdelovalca.(20) Poleg tega je zavezana varovati skrivnost ali zaupnost.(21)

32. Poudarek je torej na strogi določitvi nalog pooblaščene osebe za varstvo podatkov, kar je še posebej upravičeno, kadar to pooblaščeno osebo za varstvo podatkov imenuje upravljavec, ki je njen delodajalec. Zato so s prepovedjo iz člena 38(3), drugi stavek, Uredbe 2016/679 zagotovljena pooblastila, ki jih ima ta pooblaščena oseba pri opravljanju svojih nalog, ki jih je v nekaterih primerih lahko težko uskladiti s tistimi, ki jih je delodajalec določil v okviru delovnega razmerja.

33. Analizo, da je edini namen te določbe organizirati neodvisno opravljanje nalog pooblaščene osebe za varstvo podatkov, potrjuje kontekst, v katerem je bila ta določba sprejeta.

34. V zvezi s tem je treba poudariti, da je v skladu s členom 1 Uredbe 2016/679 namen te uredbe določiti pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku teh podatkov. Tako je bila sprejeta na podlagi člena 16(2) PDEU,(22) zaradi česar je mogoče ugotoviti, kot sem že navedel v prejšnjih sklepnih predlogih, da je, čeprav ima varstvo osebnih podatkov horizontalen značaj, v tem smislu harmonizacija, ki se izvaja s to uredbo, omejena na vidike, ki so na tem področju posebej zajeti s to uredbo.(23)

35. Iz vseh teh razlogov po mojem mnenju ni dvoma, da je posebno varstvo pooblaščene osebe za varstvo podatkov, določeno v členu 38(3), drugi stavek, Uredbe 2016/679, specifično za namen te uredbe, ker krepi avtonomijo te pooblaščene osebe. Zato ne spada na širše področje varstva delavcev.(24)

36. Tako se ponovno postavlja vprašanje, ali lahko države članice zunaj vidikov, ki so posebej zajeti z Uredbo 2016/679, še naprej sprejemajo zakonodajo, če ne posegajo v vsebino in cilje te uredbe.(25)

2. Možnost držav članic, da razširijo jamstva, ki so pooblaščeni osebi za varstvo podatkov dana v členu 38(3), drugi stavek, Uredbe 2016/679

37. Menim, da cilj Uredbe 2016/679, naveden v uvodni izjavi 13 te uredbe, v skladu s katero zakonodajalec Unije v členu 38(3), drugi stavek, te uredbe na splošno zagotavlja neodvisnost pooblaščene osebe za varstvo podatkov,(26) upravičuje, da mora država članica imeti možnost sprejeti kateri koli drug ukrep za krepitev neodvisnosti te pooblaščene osebe pri opravljanju njenih nalog.

38. Ta analiza ni v nasprotju z učinki uredbe, kot so opredeljeni v členu 288, drugi odstavek, PDEU, niti z naknadno obveznostjo držav članic, da ne odstopajo od uredbe, ki je v celoti zavezujoča in se neposredno uporablja, oziroma da je ne dopolnjujejo, razen če imajo države članice na podlagi določb te uredbe manevrski prostor, ki ga po potrebi morajo ali smejo uporabiti pod pogoji in v mejah, določenih v teh določbah.(27)

39. Zato ponavljam svoje stališče, da se obseg harmonizacije, izvedene z Uredbo 2016/679, razlikuje glede na obravnavane določbe. Za določitev normativnega obsega te uredbe je torej treba preučiti vsak primer posebej.(28)

40. V zvezi s tem ugotavljam, da se člen 38(3), drugi stavek, Uredbe 2016/679 nanaša na razrešitev pooblaščene osebe za varstvo podatkov samo v povezavi z domnevno pravilnim(29) opravljanjem njenih nalog v obliki prepovedi, ne da bi se uvedla stopnja resnosti navedenega razloga ali upoštevali različni vidiki razmerja podrejenosti z delodajalcem, ki bi lahko vplivali na imenovanje navedene osebe. Tako na primer ni bilo upoštevano trajanje pogodbe o zaposlitvi ali osebni oziroma ekonomski razlog za odpoved te pogodbe, o kateri se je mogoče po potrebi pogajati, ali prekinitev delovnega razmerja zaradi bolezni, usposabljanja, letnega dopusta ali dolgotrajnega dopusta.

41. Poleg tega na namen zakonodajalca Unije, da državam članicam prepusti dopolnitev določb o varstvu neodvisnosti pooblaščene osebe za varstvo podatkov na podlagi minimalnega zakonodajnega okvira o opravljanju njenih nalog, opredeljenega v skladu s cilji Uredbe 2016/679, kaže tudi neobstoj določb glede trajanja mandata te pooblaščene osebe – v nasprotju s tem, kar določa člen 44(8), prvi stavek, Uredbe 2018/1725 –(30) ali glede, kot v obravnavani zadevi, reorganizacije podjetja, katere posledica je zunanje izvajanje nalog pooblaščene osebe za varstvo podatkov iz razlogov, ki niso povezani z opravljanjem njene naloge.

42. Zato se lahko države članice odločijo, da bodo okrepile neodvisnost pooblaščene osebe za varstvo podatkov, saj ta prispeva k izvajanju ciljev Uredbe 2016/679, zlasti v zvezi z odpovedjo pogodbe o zaposlitvi, kadar ni nobene določbe prava Unije, ki bi bila lahko podlaga za posebno in konkretno varstvo te osebe pred odpovedjo pogodbe o zaposlitvi iz razloga, ki ni povezan z opravljanjem njenih nalog, medtem ko je posledica prenehanja delovnega razmerja nujno prenehanje opravljanja njenih nalog.

43. V zvezi s tem je treba spomniti, da člen 153(1)(d) PDEU na področju varstva delavcev v primeru prenehanja pogodbe o zaposlitvi določa, da Unija podpira in dopolnjuje dejavnosti držav članic, ter splošneje, da v skladu s členom 4(2)(b) PDEU na področju socialne politike glede vidikov, opredeljenih v tej pogodbi, velja deljena pristojnost med Unijo in državami članicami v smislu člena 2(2) PDEU.

44. V teh okoliščinah lahko vsaka država članica prosto določi posebne določbe o odpovedi pogodbe o zaposlitvi pooblaščeni osebi za varstvo podatkov, če so te določbe združljive s sistemom varstva pooblaščene osebe iz Uredbe 2016/679.(31)

45. Kot je razvidno iz kratke analize predpisov držav članic, ki mi jih je uspelo preveriti,(32) večina od njih ni sprejela posebnih določb v zvezi z odpovedjo pogodbe o zaposlitvi in se je omejila na prepoved iz člena 38(3), drugi stavek, Uredbe 2016/679, ki se neposredno uporablja.(33)

46. Druge države članice pa so se odločile za dopolnitev tega člena.(34)

47. V zvezi s tem ugotavljam, da je delovna skupina „člen 29“ menila, da je „[k]ot pravilo običajnega upravljanja in kot bi veljalo za vsakega drugega zaposlenega ali izvajalca v skladu z nacionalnim pogodbenim ali delovnim in kazenskim pravom, ki veljajo zanj, […] mogoče pooblaščeni osebi za varstvo podatkov vseeno zakonito odpovedati pogodbo o zaposlitvi iz razlogov, ki niso povezani z izvajanjem njenih nalog v tej funkciji (na primer zaradi kraje, fizičnega, psihološkega in spolnega nadlegovanja ali podobne hude kršitve)“.(35)

48. Ne glede na izbiro držav članic upravni ali sodni organ v vsaki od njih, pristojen za nadzor zakonitosti razlogov za razrešitev pooblaščene osebe za varstvo podatkov, po mojem mnenju prispeva tudi k zagotavljanju neodvisnosti te pooblaščene osebe.

49. Ker je namreč zelo verjetno, da povezava z zadovoljivim opravljanjem nalog pooblaščene osebe za varstvo podatkov ne bo izrecno posledica odločitve o njeni razrešitvi,(36) je mogoče predvideti splošno varstvo, ki temelji samo na statusu pooblaščene osebe za varstvo podatkov. V obravnavani zadevi iz pojasnil predložitvenega sodišča izhaja, da se na podlagi pojma „pomemben razlog“, kot se razlaga v nemškem pravu, za ugotovitev dodatnega varstva šteje, da zaradi prestrukturiranja pooblaščeni osebi za varstvo podatkov ne morejo prenehati naloge.(37) V istem smislu bi bilo poleg tega mogoče šteti, da bi bilo treba v primeru gospodarskih težav podjetja, ki mora imenovati pooblaščeno osebo za varstvo podatkov in je za to izbralo enega od svojih zaposlenih, naloge tega zaposlenega zaradi cilja Uredbe 2016/679 in prispevka take pooblaščene osebe k njegovemu izpolnjevanju še naprej izvajati, dokler se dejavnost delodajalca nadaljuje.

50. Vendar ima prepoved iz člena 38(3), drugi stavek, Uredbe 2016/679 nujno omejitve v primeru objektivnih napak pooblaščene osebe za varstvo podatkov pri opravljanju njenih nalog glede na njene obveznosti. Te omejitve je treba določiti v skladu s ciljem, ki mu sledi ta uredba.(38)

51. Tako mora po mojem mnenju razlaga, ki je prav tako skladna s ciljem Uredbe 2016/679, privesti do tega, da je pooblaščeno osebo za varstvo podatkov mogoče razrešiti s položaja, če ne izpolnjuje več meril kakovosti, potrebnih za opravljanje njenih nalog, kot so tista iz člena 37(5) te uredbe, ali obveznosti iz člena 38(3), prvi in tretji stavek, ter člena 38(5) in (6) navedene uredbe(39) oziroma če se raven njenega strokovnega znanja izkaže za nezadostno.(40)

52. Zato menim, da je treba člen 38(3), drugi stavek, Uredbe 2016/679 razlagati tako, da ne nasprotuje nacionalni ureditvi, ki določa, da lahko delodajalec pooblaščeni osebi za varstvo podatkov odpove pogodbo o zaposlitvi samo iz pomembnega razloga, tudi če odpoved pogodbe ni povezana z opravljanjem nalog te pooblaščene osebe.

53. Če pa se Sodišče s tem stališčem ne bi strinjalo in bi na prvo vprašanje predložitvenega sodišča odgovorilo pritrdilno, bi bilo treba odgovoriti na drugi dve vprašanji za predhodno odločanje.

B. Drugo vprašanje za predhodno odločanje

54. Predložitveno sodišče želi z drugim vprašanjem izvedeti, ali člen 38(3), drugi stavek, Uredbe 2016/679 nasprotuje nacionalni ureditvi, v skladu s katero je odpoved pogodbe o zaposlitvi pooblaščeni osebi za varstvo podatkov s strani njenega delodajalca brez pomembnega razloga nezakonita, tudi če ta odpoved ni povezana z opravljanjem njenih nalog, če imenovanje pooblaščene osebe za varstvo podatkov ni obvezno na podlagi člena 37(1) te uredbe, ampak le na podlagi nacionalnega prava, kot določa člen 37(4) te uredbe.

55. Ugotavljam, da niti v členu 38(3) Uredbe 2016/679 niti v drugih določbah oddelka 4 te uredbe, ki se nanaša na pooblaščeno osebo za varstvo podatkov, ni razlikovanja glede na to, ali je imenovanje te pooblaščene osebe obvezno ali neobvezno.

56. Zato menim, da je treba predložitvenemu sodišču odgovoriti, da se člen 38(3), drugi stavek, Uredbe 2016/679 uporablja, ne da bi bilo treba razlikovati, ali je imenovanje pooblaščene osebe za varstvo podatkov obvezno na podlagi prava Unije ali na podlagi nacionalnega prava.

C. Tretje vprašanje za predhodno odločanje

57. Predložitveno sodišče s tretjim vprašanjem sprašuje o veljavnosti člena 38(3), drugi stavek, Uredbe 2016/679 in, natančneje, o tem, ali ta določba temelji na zadostni pravni podlagi, zlasti kolikor se nanaša na pooblaščene osebe za varstvo podatkov, ki so vezane na upravljavca na podlagi pogodbe o zaposlitvi.

58. Sodišču predlagam, naj ugotovi, da člen 38(3), drugi stavek, Uredbe 2016/679 temelji na zadostni pravni podlagi, ker je njegov namen le zavarovati pooblaščeno osebo za varstvo podatkov pred vsemi ovirami pri opravljanju njenih nalog in ker to jamstvo ne glede na obstoj delovnega razmerja prispeva k učinkovitemu doseganju ciljev te uredbe.

59. Po eni strani namreč, kot sem pojasnil v okviru analize prvega vprašanja za predhodno odločanje,(41) je pravna podlaga, na kateri temelji ta uredba, člen 16 PDEU. Poleg tega je Sodišče razsodilo, da ta člen brez poseganja v člen 39 PEU pomeni ustrezno pravno podlago, kadar je varstvo osebnih podatkov eden od bistvenih ciljev ali sestavnih delov pravil, ki jih je sprejel zakonodajalec Unije.(42)

60. Po drugi strani menim, da je glede vloge pooblaščene osebe za varstvo podatkov in ureditve te vloge, kot sta opredeljeni v Uredbi 2016/679, eden od teh pogojev v celoti izpolnjen. Jamstvo funkcionalne neodvisnosti te pooblaščene osebe, ki je namenjeno izpolnjevanju zahteve, da se zagotovi visoka raven spoštovanja temeljnih pravic posameznikov, na katere se nanaša obdelava osebnih podatkov,(43) je bilo v členu 38(3), drugi stavek, te uredbe izraženo s prepovedjo razrešitve navedene osebe iz razlogov, povezanih z njenimi nalogami. Ker ta določba ne zahteva harmonizacije v delovnem pravu, zakonodajalec Unije ni prekoračil zakonodajnih pooblastil, ki so mu podeljena s členom 16(2) PDEU.

61. Glede spoštovanja načel subsidiarnosti in sorazmernosti, o katerih se predložitveno sodišče prav tako sprašuje, ugotavljam, prvič, da povečanje čezmejne obdelave osebnih podatkov upravičuje, da se varstvo osebnih podatkov glede na temeljne pravice izvaja na ravni Unije,(44) zlasti z zagotavljanjem posebnih pooblastil pooblaščene osebe za varstvo podatkov, ki se šteje za „ključnega akterja“ tega varstva.(45) Drugič, zdi se mi, da člen 38(3), drugi stavek, Uredbe 2016/679 ne presega tega, kar je potrebno za zagotovitev funkcionalne neodvisnosti te pooblaščene osebe. Res je, da jamstvo, da ne bo razrešena, določeno v tej določbi, nujno vpliva na delovno razmerje. Vendar je to vplivanje namenjeno le ohranjanju polnega učinka funkcije pooblaščene osebe za varstvo podatkov.

62. Zato menim, da je treba predložitvenemu sodišču odgovoriti, da pri preučitvi tretjega vprašanja za predhodno odločanje ni bil ugotovljen noben element, ki bi vplival na veljavnost člena 38(3), drugi stavek, Uredbe 2016/679.

V. Predlog

63. Glede na vse zgornje preudarke Sodišču predlagam, naj na vprašanja za predhodno odločanje, ki jih je postavilo Bundesarbeitsgericht (zvezno delovno sodišče, Nemčija), odgovori:

Primarno:

– Člen 38(3), drugi stavek, Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) je treba razlagati tako, da ne nasprotuje nacionalni ureditvi, ki določa, da lahko delodajalec pooblaščeni osebi za varstvo podatkov odpove pogodbo o zaposlitvi samo iz pomembnega razloga, tudi če odpoved pogodbe ni povezana z opravljanjem nalog te pooblaščene osebe.

Podredno, če bi Sodišče na prvo vprašanje za predhodno odločanje odgovorilo pritrdilno:

– Člen 38(3), drugi stavek, Uredbe 2016/679 se uporablja, ne da bi bilo treba razlikovati, ali je imenovanje pooblaščene osebe za varstvo podatkov obvezno na podlagi prava Unije ali na podlagi nacionalnega prava.

– Pri preučitvi tretjega vprašanja za predhodno odločanje ni bil ugotovljen noben element, ki bi vplival na veljavnost člena 38(3), drugi stavek, Uredbe 2016/679.

1 Jezik izvirnika: francoščina.

2 UL 2016, L 119, str. 1.

3 BGBl. 1990 I, str. 2954.

4 BGBl. 2017 I, str. 2097, v nadaljevanju: BDSG.

5 V členu 38(1), prvi stavek, BDSG v različici, ki velja od 26. novembra 2019, je bilo število zaposlenih zvišano na „20“.

6 BGBl. 2002 I, str. 42, popravek na str. 2909, in BGBl. 2003 I, str. 738.

7 Predložitveno sodišče dodaja, da v skladu z njegovo sodno prakso to, da naj bi varstvo podatkov v podjetju zaradi organizacijske spremembe v prihodnje zagotavljala zunanja pooblaščena oseba za varstvo podatkov, ni pomemben razlog za razrešitev (glej sodbo Bundesarbeitsgericht (zvezno delovno sodišče) št. 10 AZR 562/09 z dne 23. marca 2011, točka 15, na voljo na spletnem naslovu: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/).

8 Člen 37 te uredbe.

9 Člen 38 navedene uredbe.

10 Člen 39 iste uredbe.

11 Glej zlasti sodbo z dne 12. maja 2021, Bundesrepublik Deutschland (Interpolova rdeča mednarodna tiralica) (C‑505/19, EU:C:2021:376, točka 77).

12 Moj poudarek.

13 Glede tega je v dokumentu, naslovljenem „Smernice o pooblaščenih osebah za varstvo podatkov (POVP)“ (v nadaljevanju: Smernice o POVP), ki so bile sprejete 13. decembra 2016 in revidirane 5. aprila 2017 ter ki so na voljo na spletnem naslovu: https://ec.europa.eu/newsroom/article29/items/612048/en, delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov, ustanovljena v skladu s členom 29 Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) (v nadaljevanju: delovna skupina „člen 29“), navedla, da so „[k]azni […] lahko različnih oblik ter neposredne ali posredne. Vključevale bi lahko na primer nenapredovanje ali prelaganje napredovanja, preprečevanje poklicnega napredovanja, onemogočanje dostopa do ugodnosti, ki jih prejemajo drugi zaposleni. Ni nujno, da se te kazni dejansko izvršijo. Zadostuje že grožnja s kaznijo, če je namenjena kaznovanju pooblaščene osebe za varstvo podatkov iz razlogov, povezanih z njenimi dejavnostmi“ (str. 18 in 19). Od začetka veljavnosti Uredbe 2016/679 je to delovno skupino nadomestil Evropski odbor za varstvo podatkov (EOVP). Smernice o POVP je odobril na svoji prvi plenarni skupščini 25. maja 2018 (glej https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).

14 Kot poudarja oseba LH, je poleg nemške jezikovne različice člena 38(3), drugi stavek, Uredbe 2016/679 („abberufen“) tudi v jezikovnih različicah, kot so španska („destituido“), francoska („relevé“) in portugalska („destituído“), jasno navedeno, da se ta uredba nanaša na razrešitev pooblaščene osebe za varstvo podatkov, in ne na odpoved „delovnega razmerja“ („kündigen“ v nemščini). Glej tudi angleško („dismissed“), italijansko („rimosso“), poljsko („odwoływany“) in romunsko („demis“) jezikovno različico.

15 Glej dopis predsedstva Sveta Evropske unije z dne 3. oktobra 2014 o predlogu uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) (prva obravnava) – poglavje IV, na voljo na spletnem naslovu: https://data.consilium.europa.eu/doc/document/ST‑13772-2014-INIT/sl/pdf, v zvezi s tem, da se v člen 36(3) tega predloga doda, da se pooblaščena oseba za varstvo podatkov ne sme kaznovati zaradi opravljanja svojih nalog (str. 34). Glej tudi stališče Sveta v prvi obravnavi z namenom sprejetja Uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) z dne 6. aprila 2016, na voljo na spletnem naslovu: https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=SL, s katerim je bilo sprejeto sedanje besedilo člena 38 Uredbe 2016/679.

16 Izraz „neodvisno“ je naveden v zadnjem stavku uvodne izjave 97 Uredbe 2016/679.

17 UL 2018, L 295, str. 39.

18 Glej člen 37(6) Uredbe št. 2016/679.

19 Glej stališče Sveta v prvi obravnavi za sprejetje Uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) – osnutek utemeljitve Sveta z dne 31. marca 2016, na voljo na spletnem naslovu: https://eur-lex.europa.eu/legal-content/SL/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=SL (str. 22). Glede pomembne vloge pooblaščene osebe za varstvo podatkov pri uporabi Uredbe 2016/679 glej uvodno izjavo 97 te uredbe in naloge te osebe, kot so opredeljene v členu 39 navedene uredbe. V zvezi s tem je delovna skupina „člen 29“ v Smernicah o POVP opozorila, da je pred sprejetjem Uredbe 2016/679 trdila, da je pooblaščena oseba za varstvo podatkov „temelj odgovornosti in da lahko imenovanje [pooblaščene osebe za varstvo podatkov] olajša skladnost“ (str. 5). Delovna skupina je ugotovila tudi, da ta uredba pooblaščeno osebo za varstvo podatkov priznava „kot ključnega akterja v novem sistemu upravljanja podatkov“ (str. 6). Za ponazoritev potreb upravljavca ali njegovega obdelovalca po informacijah, ki bi jih morala izpolnjevati pooblaščena oseba za varstvo podatkov, glej sodbo z dne 16. julija 2020, Facebook Ireland in Schrems (C‑311/18, EU:C:2020:559, točka 134).

20 Glej člen 38(3), prvi in tretji stavek, Uredbe 2016/679.

21 Glej člen 38(5) Uredbe 2016/679.

22 Glej preambulo in uvodno izjavo 12 Uredbe 2016/679 ter sodbo z dne 15. junija 2021, Facebook Ireland in drugi (C‑645/19, EU:C:2021:483, točka 44).

23 Glej moje sklepne predloge v zadevi Facebook Ireland (C‑319/20, EU:C:2021:979, točka 51).

24 Na podlagi navedenega menim, da se ni mogoče opreti na določbe člena 88(1) navedene uredbe za ugotovitev, da gre za pomensko odprte določbe.

25 Glej moje sklepne predloge v zadevi Facebook Ireland (C‑319/20, EU:C:2021:979, točka 51).

26 Glej točko 31 teh sklepnih predlogov.

27 V zvezi z Uredbo 2016/679 glej zlasti moje sklepne predloge v zadevi Facebook Ireland (C‑319/20, EU:C:2021:979, točka 52).

28 Glej moje sklepne predloge v zadevi Facebook Ireland (C‑319/20, EU:C:2021:979, točka 52). Poleg tega sem v točki 55 teh sklepnih predlogov Sodišče že opozoril na dejstvo, da Uredba 2016/679 vsebuje številne pomensko odprte določbe, s katerimi ta uredba izrecno prenaša zakonodajno pristojnost na države članice, s čimer se razlikuje od tradicionalne uredbe in se približuje direktivi.

29 V zvezi s tem, kot poudarja Bielak-Jomaa, E., „Artykuł 38. Status inspektora ochrony danych“, v: Bielak-Jomaa, E., in Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varšava, 2018, str. od 794 do 806, zlasti točka 5, četrti odstavek, delovna skupina „člen 29“ ni navedla nobenega merila, ki bi bilo koristno za ugotovitev pravilnega ali nepravilnega opravljanja nalog pooblaščene osebe za varstvo podatkov. Podobno Foret, O., „Le rôle du DPO“, v: Bensamoun, A., in Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Pariz, 2020, str. od 233 do 239, zlasti str. 235 in 236, navaja, da „EOVP v svojih smernicah pojasnjuje, da […] ‚potrebna raven strokovnega znanja [za imenovanje za pooblaščeno osebo za varstvo podatkov] ni izrecno opredeljena, vendar mora biti sorazmerna z občutljivostjo, zapletenostjo in količino podatkov, ki jih organizacija obdeluje‘“ (glej Smernice o POVP (str. 13)). Glej tudi str. 14 teh smernic. Glej poleg tega točki 50 in 51 teh sklepnih predlogov.

30 Glej Bergt, M., „Art 38. Stellung des Datenschutzbeauftragten“, v: Kühling, J., in Buchner, B., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. izdaja, C. H. Beck, München, 2020, zlasti točka 29. Ta avtor poudarja, da „[v] nasprotju z osnutki Komisije in Parlamenta člen 38 ne določa minimalnega trajanja mandata, za katerega je imenovana pooblaščena oseba za varstvo podatkov“ (prosti prevod).

31 Glej točki 31 in 32 teh sklepnih predlogov. Dodati je mogoče, da je zakonodajalec Unije to možnost namenoma izkoristil s tem, da ni sprejel predloga Evropskega ekonomsko-socialnega odbora v okviru zakonodajnega dela v zvezi z Uredbo 2016/679, s katerim naj bi se bolje določili „pogoj[i], povezan[i] s […] funkcijo [pooblaščene osebe za varstvo podatkov], zlasti: zaščit[a] pred odpovedjo delovnega razmerja, ki mora biti jasno opredeljena in veljati tudi po obdobju, v katerem bo zadevna oseba opravljala to funkcijo“: glej točko 4.11.1 Mnenja Evropskega ekonomsko-socialnega odbora o predlogu uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) (UL 2012, C 229, str. 90).

32 Glej zlasti informacije, ki so na voljo na naslednjih spletnih naslovih: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2 in https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.

33 To velja za Kraljevino Dansko, Irsko, Republiko Hrvaško, Italijansko republiko, Republiko Ciper, Republiko Malto, Kraljevino Nizozemsko, Republiko Avstrijo, Republiko Poljsko, Portugalsko republiko, Romunijo in Republiko Finsko. V Republiki Hrvaški, Republiki Malti, Republiki Poljski in Republiki Bolgariji je treba razrešitev ali zamenjavo pooblaščene osebe sporočiti nacionalnemu organu za varstvo osebnih podatkov. V nekaterih državah članicah, kot sta Francoska republika in Veliko vojvodstvo Luksemburg, je bilo določeno, da pooblaščena oseba za varstvo podatkov nima statusa zaščitenega delavca, ki bi zagotovil dodatno jamstvo poleg tistega iz Uredbe 2016/679.

34 Glej v belgijski zakonodaji člen 6, tretji odstavek, arrêté royal, relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données, du 6 décembre 2015 (kraljevi odlok z dne 6. decembra 2015 o svetovalcih za varnost in varovanje zasebnosti ter platformi za varnost in varstvo podatkov, Moniteur belge z dne 28. decembra 2015, str. 79268), ki je veljal pred začetkom veljavnosti Uredbe 2016/679, v skladu s katerim lahko „[d]elodajalec ali pristojni organ […] prekine pogodbo svetovalca, odpove njegovo redno zaposlitev ali ga razreši le iz razlogov, ki niso povezani z njegovo neodvisnostjo, ali iz razlogov, ki dokazujejo, da ni sposoben opravljati svojih nalog“. Moj poudarek. Glej tudi v španski zakonodaji člen 36(2) Ley Orgánica 3/2018 de Protección de Datos Personales y guarantía de los derechos digitales (zakon št. 3/2018 o varstvu osebnih podatkov in zagotavljanju digitalnih pravic) z dne 5. decembra 2018 (BOE št. 294 z dne 6. decembra 2018, str. 119788), v katerem je navedeno, da „[č]e je pooblaščena oseba za varstvo podatkov v organizaciji upravljavca ali obdelovalca fizična oseba, […] upravljavec ali obdelovalec [te osebe] ne more niti razrešiti niti kaznovati zaradi opravljanja njenih nalog, razen v primeru namerne kršitve ali hude malomarnosti pri opravljanju teh nalog […]“. Moj poudarek.

35 Glej Smernice o POVP (str. 19). Moj poudarek.

36 Glej v tem smislu Fajgielski, P., „Artykuł 38. Status inspektora ochrony danych“, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varšava, 2018, str. od 430 do 437, zlasti točka 5, peti odstavek. Glej tudi Kremer, S., „§ 6 Datenschutzbeauftragter“, v: Laue, P., Nink, J., in Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, 2. izdaja, Nomos, Baden-Baden, 2019, zlasti točka 36, in Bergt, M., „Art 38. Stellung des Datenschutzbeauftragten“, op. cit., zlasti točka 30, in Bussche, A., „Art. 38 DSGVO“, v: Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3. izdaja, Otto Schmidt, Köln, 2018, zlasti točka 19.

37 Glej opombo 7 teh sklepnih predlogov.

38 Glej točke 31, 60 in 61 teh sklepnih predlogov.

39 Glej točko 31 teh sklepnih predlogov. Glej tudi zadevi X-FAB Dresden (C‑453/21) in KISA (C‑560/21), ki še potekata pred Sodiščem, v katerih sta različna senata Bundesarbeitsgericht (zvezno delovno sodišče) Sodišču postavila enaka vprašanja za predhodno odločanje, vendar v primerih, v katerih je do razrešitve s položaja prišlo zaradi navzkrižja interesov. V prvi od teh zadev se dodatno vprašanje nanaša na merila za tako navzkrižje.

40 Glej v tem smislu Kremer, S., „§ 6 Datenschutzbeauftragter“, op. cit., zlasti točko 35, in Bussche, A., „Art. 38 DSGVO“, op. cit., zlasti točko 17.

41 Glej točko 34 teh sklepnih predlogov.

42 Mnenje 1/15 (Sporazum PNR med EU in Kanado) z dne 26. julija 2017 (EU:C:2017:592, točka 96).

43 Glej sodbo z dne 15. junija 2021, Facebook Ireland in drugi (C‑645/19, EU:C:2021:483, točke 44, 45 in 91).

44 Glej v tem smislu sodbo z dne 15. junija 2021, Facebook Ireland in drugi (C‑645/19, EU:C:2021:483, točka 45 in po analogiji točka 47).

45 Glej opombo 19, četrti stavek, teh sklepnih predlogov.