Language of document : ECLI:EU:C:2022:495

РЕШЕНИЕ НА СЪДА (първи състав)

22 юни 2022 година(*)

„Преюдициално запитване — Защита на физическите лица във връзка с обработването на лични данни — Регламент (ЕС) 2016/679 — Член 38, параграф 3, второ изречение — Длъжностно лице по защита на данните — Забрана за администратора или за обработващия лични данни да освобождава от длъжност или да санкционира длъжностно лице по защита на данните за изпълнението на неговите задачи — Правно основание — Член 16 ДФЕС — Изискване за функционална независимост — Национална правна уредба, която забранява уволнението на длъжностно лице по защита на данните, ако липсва сериозно основание“

По дело C‑534/20

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Bundesarbeitsgericht (Федерален трудов съд, Германия) с акт от 30 юли 2020 г., постъпил в Съда на 21 октомври 2020 г., в рамките на производство по дело

Leistritz AG

срещу

LH,

СЪДЪТ (първи състав),

състоящ се от: Aл. Арабаджиев, председател на състава, I. Ziemele (докладчик) и P. G. Xuereb, съдии,

генерален адвокат: J. Richard de la Tour,

секретар: D. Dittert, началник-отдел,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 18 ноември 2021 г.,

като има предвид становищата, представени:

–        за Leistritz AG, от O. Seeling и C. Wencker, Rechtsanwälte,

–        за LH, от S. Lohneis, Rechtsanwalt,

–        за германското правителство, от J. Möller и S. K. Costanzo, в качеството на представители,

–        за румънското правителство, от E. Gane, в качеството на представител,

–        за Европейския парламент, от O. Hrstková Šolcová, P. López-Carceller и B. Schäfer, в качеството на представители,

–        за Съвета на Европейския съюз, от T. Haas и K. Pleśniak, в качеството на представители,

–        за Европейската комисия, от K. Herrmann, H. Kranenborg и D. Nardi, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 27 януари 2022 г.,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването и валидността на член 38, параграф 3, второ изречение от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) (ОВ L 119, 2016 г., стр. 1 и поправка в ОВ L 127, 2018 г., стр. 2; наричан по-нататък „ОРЗД“).

2        Запитването е отправено във връзка със спор между Leistritz AG и LH, изпълняваща в това дружество функциите на длъжностно лице по защита на данните, по повод на прекратяването на трудовия ѝ договор поради преструктуриране на дружеството.

 Правна уредба

 Правото на Съюза

3        Съображения 10 и 97 от ОРЗД гласят:

„(10)      За да се гарантира последователно и високо ниво на защита на физическите лица, както и за да се премахнат препятствията пред движението на лични данни в Съюза, нивото на защита на правата и свободите на физическите лица във връзка с обработването на такива данни следва да бъде равностойно във всички държави членки. Следва да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на физическите лица във връзка с обработването на лични данни. […]

[…]

(97)      […] [Длъжностните лица] по защита на данните, независимо от това дали са служители на администратора, следва да бъдат в състояние да изпълняват своите задължения и задачи независимо“.

4        Член 37 от ОРЗД е озаглавен „Определяне на длъжностното лице по защита на данните“ и гласи:

„1.      Администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато:

a)      обработването се извършва от публичен орган или структура, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;

б)      основните дейности на администратора или обработващия лични данни се състоят в операции по обработване, които поради своето естество, обхват и/или цели изискват редовно и систематично мащабно наблюдение на субектите на данни; или

в)      основните дейности на администратора или обработващия лични данни се състоят в мащабно обработване на специалните категории данни съгласно член 9 или на лични данни, свързани с присъди и нарушения, по член 10.

[…]

6.      Длъжностното лице по защита на данните може да бъде член на персонала на администратора или на обработващия лични данни или да изпълнява задачите въз основа на договор за услуги.

[…]“.

5        Член 38 от ОРЗД е озаглавен „Длъжност на длъжностното лице по защита на данните“ и предвижда в параграфи 3 и 5 следното:

„3.      Администраторът и обработващият лични данни правят необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни.

[…]

5.      Длъжностното лице по защита на данните е длъжно да спазва секретността или поверителността на изпълняваните от него задачи в съответствие с правото на Съюза или правото на държава членка“.

6        Член 39 от ОРЗД е озаглавен „Задачи на длъжностното лице по защита на данните“ и предвижда в параграф 1, буква б) следното:

„Длъжностното лице по защита на данните изпълнява най-малко следните задачи:

[…]

б)      да наблюдава спазването на настоящия регламент и на други разпоредби за защитата на данни на равнище Съюз или държава членка и на политиките на администратора или обработващия лични данни по отношение на защитата на личните данни, включително възлагането на отговорности, повишаването на осведомеността и обучението на персонала, участващ в операциите по обработване, и съответните одити;

[…]“.

 Германското право

7        Член 6 от Bundesdatenschutzgesetz (Федерален закон за защита на данните) от 20 декември 1990 г. (BGBl. 1990 I, стр. 2954), в редакцията му в сила от 25 май 2018 г. до 25 ноември 2019 г. (BGBl. 2017 I, стр. 2097) (наричан по-нататък „BDSG“), е озаглавен „Длъжност“ и параграф 4 от него гласи:

„Длъжностното лице по защита на данните може да бъде освободено от длъжност само при съответно прилагане на член 626 от Bürgerliches Gesetzbuch [(Граждански кодекс) в обнародваната редакция от 2 януари 2002 г. (BGBl. 2002 I, стр. 42 и поправки в BGBl. 2002 I, стр. 2909 и BGBl. 2003 I, стр. 738)]. Не се допуска едностранно прекратяване на трудовото правоотношение, освен ако не са налице факти, които дават право на публичноправния субект да прекрати едностранно и без предизвестие трудовото правоотношение поради наличието на сериозно основание. Не се допуска едностранно прекратяване на трудовото правоотношение в срок от една година след преустановяване на функциите на длъжностно лице по защита на данните, освен ако публичноправният субект няма право да прекрати едностранно и без предизвестие трудовото правоотношение поради наличието на сериозно основание“.

8        Член 38 от BDSG е озаглавен „Длъжностно лице по защита на данните в частни структури“ и предвижда:

„(1)      В допълнение към член 37, параграф 1, букви б) и в) от [ОРЗД] администраторът и обработващият лични данни определят длъжностно лице по защита на данните, ако в предприятието обикновено са заети най-малко десет лица, извършващи постоянно автоматизирана обработка на лични данни. […]

(2)      Член 6, параграф 4, параграф 5, второ изречение и параграф 6 е приложим, като параграф 4 се прилага само ако определянето на длъжностно лице по защита на данните е задължително“.

9        Член 134 от Гражданския кодекс, в обнародваната редакция от 2 януари 2002 г. (наричан по-нататък „Гражданският кодекс“), е озаглавен „Законова забрана“ и гласи следното:

„Освен ако законът не предвижда друго, правната сделка, с която се нарушава законова забрана, е нищожна“.

10      Член 626 от Гражданския кодекс е озаглавен „Едностранно прекратяване без предизвестие поради наличие на сериозно основание“ и гласи:

„(1)      Трудовото правоотношение може да бъде едностранно прекратено от всяка страна по договора поради наличие на сериозно основание, без да се спазва срокът на предизвестието, ако са налице факти, въз основа на които, като се вземат предвид всички обстоятелства по случая и се претеглят интересите на двете страни по договора, от прекратяващата страна не може да се очаква да продължи трудовото правоотношение до изтичането на срока на предизвестие или до уговореното прекратяване на трудовото правоотношение.

(2)      Едностранното прекратяване е допустимо само в рамките на две седмици. Срокът тече от момента, в който страната, която има право едностранно да прекрати договора, узнае релевантните за едностранното прекратяване факти. […]“.

 Спорът в главното производство и преюдициалните въпроси

11      Leistritz е частно дружество, задължено съгласно германското право да определи длъжностно лице по защита на данните. LH работи в него като „ръководител на правния отдел“ от 15 януари 2018 г. и като длъжностно лице по защита на данните от 1 февруари 2018 г.

12      С писмо от 13 юли 2018 г. Leistritz уволнява LH с предизвестие, считано от 15 август 2018 г., като се обосновава с преструктуриране на дружеството, при което дейностите по правно обслужване и защита на данните вместо на вътрешни са възложени на външни изпълнители.

13      Съдът, пред който LH оспорва уволнението си, признава същото за нищожно, тъй като съгласно член 38, параграф 2 от BDSG във връзка с член 6, параграф 4, второ изречение от същия закон LH, поради качеството си на длъжностно лице по защита на данните, само може да бъде уволнена без предизвестие при наличие на сериозно основание за това. Според този съд описаното от Leistritz преструктуриране не представлява такова основание.

14      Запитващата юрисдикция, сезирана с подадената от Leistritz ревизионна жалба, посочва, че съгласно германското право уволнението на LH е нищожно на основание на тези разпоредби и член 134 от Гражданския кодекс. Тя обаче отбелязва, че приложимостта на член 38, параграф 2 и на член 6, параграф 4, второ изречение от BDSG зависи от това дали правото на Съюза, и в частност член 38, параграф 3, второ изречение от ОРЗД, допуска правна уредба на държава членка, която обвързва уволнението на длъжностно лице по защита на данните с по-строги от предвидените в правото на Съюза изисквания. Ако не е така, би следвало да уважи ревизионната жалба.

15      Запитващата юрисдикция уточнява, че съмненията ѝ се подхранват по-специално от съществуващия в националната доктрина разнобой. От една страна, според преобладаващото мнение специалната закрила срещу уволнение, предвидена с член 38, параграф 2 във връзка с член 6, параграф 4, второ изречение от BDSG, представлявала материалноправна норма на трудовото право, по отношение на която Съюзът не разполага със законодателна компетентност, поради което посочените разпоредби не противоречали на член 38, параграф 3, второ изречение от ОРЗД. От друга страна, според мнението на малцинството връзките между тази закрила и функциите на длъжностно лице по защита на данните влизали в стълкновение с правото на Съюза и оказвали икономически натиск длъжностното лице по защита на данните, веднъж определено, трайно да заема това място.

16      При тези обстоятелства Bundesarbeitsgericht (Федерален трудов съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)      Следва ли член 38, параграф 3, второ изречение от [ОРЗД] да се тълкува в смисъл, че не допуска разпоредба от националното право, като член 38, параграф 1 и параграф 2 във връзка с член 6, параграф 4, второ изречение от [BDSG], която не позволява трудовото правоотношение на длъжностното лице по защита на данните да бъде едностранно прекратено с предизвестие от администратора, който е негов работодател, независимо дали е мотивирано с изпълнението на задълженията на длъжностното лице?

2)      При утвърдителен отговор на първия въпрос:

Пречка ли е член 38, параграф 3, второ изречение от [ОРЗД] за такава разпоредба от националното право и тогава, когато определянето на длъжностното лице по защита на данните е задължително не съгласно член 37, параграф 1 от [ОРЗД], а съгласно правото на държавата членка?

3)      При утвърдителен отговор на първия въпрос:

Налице ли е достатъчно правно основание за член 38, параграф 3, второ изречение от [ОРЗД], по-специално с оглед на обстоятелството, че в приложното му поле се включват длъжностни лица по защита на данните, които се намират в трудово правоотношение с администратора?“.

 По преюдициалните въпроси

 По първия въпрос

17      С първия си въпрос запитващата юрисдикция по същество иска да установи дали член 38, параграф 3, второ изречение от ОРЗД трябва да се тълкува в смисъл, че не допуска национална правна уредба, съгласно която администраторът или обработващият лични данни може да уволни длъжностно лице по защита на данните, което е член на персонала му, само при наличие на сериозно основание, дори когато уволнението не е свързано с изпълнението на задачите на това длъжностно лице.

18      Както следва от постоянната съдебна практика, при тълкуването на разпоредба от правото на Съюза трябва да се държи сметка не само за употребените в нея думи в съответствие с обичайното им значение в общоупотребимия език, но и за контекста, в който тя се използва, и за целите, преследвани с правната уредба, от която е част (решение от 22 февруари 2022 г., Stichting Rookpreventie Jeugd и др., C‑160/20, EU:C:2022:101, т. 29 и цитираната съдебна практика).

19      На първо място, що се отнася до текста на разглежданата разпоредба, следва да се припомни, че съгласно член 38, параграф 3, второ изречение от ОРЗД „[д]лъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи“.

20      Веднага следва да се отбележи, че ОРЗД не дефинира съдържащите се в член 38, параграф 3, второ изречение понятия „освободено от длъжност“, „санкционирано“ и „за изпълнението на своите задачи“.

21      При това положение, първо, в съответствие със смисъла на тези понятия в общоупотребимия език забраната администраторът или обработващият лични данни да освобождава от длъжност или да санкционира длъжностно лице по защита на данните, означава, както по същество отбелязва генералният адвокат в точки 24 и 26 от заключението си, че това лице трябва да бъде защитено срещу всяко решение, с което се прекратяват функциите му, което го поставя в неизгодно положение или което представлява санкция.

22      В това отношение такова решение може да бъде решението, с което работодателят на длъжностно лице по защита на данните го уволнява и с което се прекратяват съществуващото между тях трудово правоотношение и съответно функциите на длъжностно лице по защита на данните в съответното предприятие.

23      Второ, налага се изводът, че член 38, параграф 3, второ изречение от ОРЗД се прилага без разлика както за длъжностното лице по защита на данните, което е член на персонала на администратора или на обработващия лични данни, така и за длъжностното лице по защита на данните, което изпълнява задачите си въз основа на сключен с последните договор за услуга, в съответствие с член 37, параграф 6 от ОРЗД.

24      От това следва, че член 38, параграф 3, второ изречение от ОРЗД се прилага към отношенията между длъжностно лице по защита на данните и администратор или обработващ лични данни, независимо от естеството на трудовото правоотношение между това лице и последните.

25      Трето, следва да се отбележи, че тази разпоредба предвижда ограничение, което, както подчертава генералният адвокат по същество в точка 29 от заключението си, се изразява в забрана за уволнение на длъжностно лице по защита на данните на основание, свързано с изпълнението на неговите задачи, които съгласно член 39, параграф 1, буква б) от ОРЗД включват в частност наблюдение дали се спазват уреждащите защитата на данни разпоредби на правото на Съюза или на правото на държавите членки, както и политиките на администратора или обработващия лични данни по отношение на защитата на личните данни.

26      На второ място, що се отнася до целта, преследвана с член 38, параграф 3, второ изречение от ОРЗД, следва да се подчертае, първо, че съгласно съображение 97 от този регламент длъжностните лица по защита на данните, независимо от това дали са служители на администратора, следва да бъдат в състояние да изпълняват своите задължения и задачи независимо. В това отношение подобна независимост трябва задължително да им позволява да изпълняват тези задачи в съответствие с целта на ОРЗД, която, видно от съображение 10 от него, е да се гарантира високо ниво на защита на физическите лица в Съюза и съответно да се гарантира последователно и еднородно прилагане в рамките на Съюза на правилата за защита на основните права и свободи на тези лица във връзка с обработването на лични данни (решение от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 207 и цитираната съдебна практика).

27      Второ, целта да се гарантира функционалната независимост на длъжностното лице по защита на данните, така както тази цел следва от член 38, параграф 3, второ изречение от ОРЗД, произтича и от член 38, параграф 3, първо и трето изречение от ОРЗД, съгласно който това длъжностно лице не получава никакви указания във връзка с изпълнението на задачите си и се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни, както и от член 38, параграф 5 от ОРЗД, който предвижда, че при изпълнението на задачите въпросното длъжностно лице е длъжно да опазва професионалната тайна или поверителността.

28      В този смисъл трябва да се приеме, че тъй като закриля длъжностното лице по защита на данните срещу всяко решение, което прекратява функциите на това лице, поставя същото в по-неизгодно положение или представлява санкция, когато такова решение е свързано с изпълнението на задачите на въпросното лице, член 38, параграф 3, второ изречение от ОРЗД по същество обезпечава функционалната независимост на длъжностното лице по защита на данните и следователно гарантира ефективността на разпоредбите на ОРЗД. Тази разпоредба обаче няма за предмет цялостното уреждане на трудовите правоотношения между администратора или обработващия лични данни и членовете на неговия персонал, които правоотношения могат да бъдат засегнати само между другото, доколкото това е строго необходимо за постигането на тези цели.

29      Това тълкуване се потвърждава, на трето място, от контекста, в който се вписва посочената разпоредба, и по-специално от правното основание, на което законодателят на Съюза е приел ОРЗД.

30      Всъщност от съображенията на ОРЗД е видно, че той е приет на основание член 16 ДФЕС, чийто параграф 2 предвижда по-специално, че Европейският парламент и Съветът, като действат в съответствие с обикновената законодателна процедура, определят правилата, от една страна, за защитата на физическите лица по отношение на обработката на личните данни от страна на институциите, органите, службите и агенциите на Съюза, както и от страна на държавите членки при извършване на дейности, които попадат в обхвата на правото на Съюза, и от друга страна, за свободното движение на тези данни.

31      За сметка на това извън предвидената в член 38, параграф 3, второ изречение от ОРЗД специална закрила на длъжностното лице по защита на данните определянето на правила за закрила срещу уволнение на длъжностно лице по защита на данните, което е служител на администратор или обработващ лични данни, няма отношение нито към защитата на физическите лица при обработването на лични данни, нито към свободното движение на тези данни, а е въпрос от областта на социалната политика.

32      В това отношение следва да се припомни, от една страна, че съгласно член 4, параграф 2, буква б) ДФЕС Съюзът и държавите членки разполагат в областта на социалната политика, що се отнася до аспектите, определени в Договора за функционирането на ЕС, със споделена компетентност по смисъла на член 2, параграф 2 ДФЕС. От друга страна, както се уточнява в член 153, параграф 1, буква г) ДФЕС, Съюзът подкрепя и допълва дейностите на държавите членки в областта на закрилата на работниците при прекратяване на трудовия договор (вж. по аналогия решение от 19 ноември 2019 г., TSN и AKT, C‑609/17 и C‑610/17, EU:C:2019:981, т. 47).

33      Както обаче следва от член 153, параграф 2, буква б) ДФЕС, Парламентът и Съветът могат да приемат посредством директиви минимални изисквания в това отношение, като съгласно практиката на Съда и предвид член 153, параграф 4 ДФЕС такива минимални изисквания не са пречка за държавите членки, които желаят да запазят или въведат по-строги предпазни мерки, съвместими с Договорите (вж. в този смисъл решение от 19 ноември 2019 г., TSN и AKT, C‑609/17 и C‑610/17, EU:C:2019:981, т. 48).

34      От това следва, както по същество подчертава генералният адвокат в точка 44 от заключението си, че при упражняването на запазената си компетентност всяка държава членка е свободна да установява специални разпоредби, които дават по-голяма закрила във връзка с уволнението на длъжностното лице по защита на данните, стига тези разпоредби да са съвместими с правото на Съюза, и в частност с разпоредбите на ОРЗД, по-специално с член 38, параграф 3, второ изречение от него.

35      По-конкретно, както отбелязва генералният адвокат в точки 50 и 51 от заключението си, подобна засилена закрила не бива да застрашава постигането на целите на ОРЗД. Такъв би бил случаят, ако тя е пречка администраторът или обработващият лични данни да уволни всяко длъжностно лице по защита на данните, което вече не притежава необходимите професионални качества, за да изпълнява задачите си, или което не изпълнява същите в съответствие с разпоредбите на ОРЗД.

36      С оглед на гореизложените съображения на първия въпрос следва да се отговори, че член 38, параграф 3, второ изречение от ОРЗД трябва да се тълкува в смисъл, че допуска национална правна уредба, съгласно която администраторът или обработващият лични данни може да уволни длъжностно лице по защита на данните, което е член на персонала му, само при наличие на сериозно основание, дори когато уволнението не е свързано с изпълнението на задачите на това длъжностно лице, стига тази правна уредба да не застрашава постигането на целите на ОРЗД.

 По втория и третия въпрос

37      Предвид отговора на първия въпрос не е необходимо да се отговаря на втория и третия въпрос.

 По съдебните разноски

38      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (първи състав) реши:

Член 38, параграф 3, второ изречение от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) трябва да се тълкува в смисъл, че допуска национална правна уредба, съгласно която администраторът или обработващият лични данни може да уволни длъжностно лице по защита на данните, което е член на персонала му, само при наличие на сериозно основание, дори когато уволнението не е свързано с изпълнението на задачите на това длъжностно лице, стига тази правна уредба да не застрашава постигането на целите на този регламент.

Подписи


*      Език на производството: немски.