1.

Преюдициалното запитване, отправено от Bundesarbeitsgericht (Федерален трудов съд, Германия), се отнася до тълкуването и валидността на член 38, параграф 3, второ изречение от Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните) ( 2 ).

2.

Запитването е отправено в рамките на спор между LH и нейния работодател, Leistritz AG, във връзка с прекратяването на трудовия ѝ договор поради преструктуриране на предприятието, въпреки че съгласно приложимото германско законодателство LH, поради определянето ѝ за длъжностно лице по защита на данните, може да бъде уволнена без спазване на срока на предизвестие само ако е налице сериозно основание.

3.

В настоящото заключение ще изложа причините, поради които считам, че предвидената в член 38, параграф 3, второ изречение от Регламент 2016/679 забрана за освобождаване от длъжност на длъжностното лице по защита на данните не е резултат от хармонизиране на материалноправните норми на трудовото право, което позволява на държавите членки да предоставят в уредбата на различни области на правото по-голяма закрила на това длъжностно лице в съответствие с целта, преследвана с този регламент.

4.

Съображения 10, 13 и 97 от Регламент 2016/679 гласят:

[…]

[…]

5.

Член 1 от този регламент е озаглавен „Предмет и цели“ и параграф 1 от него гласи:

„С настоящия регламент се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни“.

6.

Член 37 от посочения регламент е озаглавен „Определяне на длъжностното лице по защита на данните“ и параграфи 1 и 4—6 от него гласят:

„1.   Администраторът и обработващият лични данни определят длъжностно лице по защита на данните във всички случаи, когато:

[…]

4.   В случаи, различни от посочените в параграф 1, администраторът или обработващият лични данни или сдружения и други структури, представляващи категории администратори или обработващи лични данни, могат да определят — или ако това се иска от правото на Съюза или право на държава членка определят — длъжностно лице по защита на данните. Длъжностното лице по защита на данните може да действа в полза на такива сдружения и други структури, представляващи администратори или обработващи лични данни.

5.   Длъжностното лице по защита на данните се определя въз основа на неговите професионални качества, и по-специално въз основа на експертните му познания в областта на законодателството и практиките в областта на защитата на данните и способността му да изпълнява задачите, посочени в член 39.

6.   Длъжностното лице по защита на данните може да бъде член на персонала на администратора или на обработващия лични данни или да изпълнява задачите въз основа на договор за услуги“.

7.

Член 38 от същия регламент е озаглавен „Длъжност на длъжностното лице по защита на данните“ и предвижда:

„1.   Администраторът и обработващият лични данни гарантират, че длъжностното лице по защита на данните участва по подходящ начин и своевременно във всички въпроси, свързани със защитата на личните данни.

[…]

3.   Администраторът и обработващият лични данни правят необходимото длъжностното лице по защита на данните да не получава никакви указания във връзка с изпълнението на тези задачи. Длъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи. Длъжностното лице по защита на данните се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни.

4.   Субектите на данни могат да се обръщат към длъжностното лице по защита на данните по всички въпроси, свързани с обработването на техните лични данни и с упражняването на техните права съгласно настоящия регламент.

5.   Длъжностното лице по защита на данните е длъжно да спазва секретността или поверителността на изпълняваните от него задачи в съответствие с правото на Съюза или правото на държава членка.

6.   Длъжностното лице по защита на данните може да изпълнява и други задачи и задължения. Администраторът или обработващият лични данни прави необходимото тези задачи и задължения да не водят до конфликт на интереси“.

8.

Член 39 от Регламент 2016/679 излага основните задачи на длъжностното лице по защита на данните.

9.

Член 6 от Bundesdatenschutzgesetz (Федерален закон за защита на данните) от 20 декември 1990 г. ( 3 ), в редакцията му в сила от 25 май 2018 г. до 25 ноември 2019 г. ( 4 ), е озаглавен „Длъжност“ и параграф 4 от него гласи:

„Длъжностното лице по защита на данните може да бъде освободено от длъжност само при съответно прилагане на член 626 от Bürgerliches Gesetzbuch [Граждански кодекс]. Не се допуска едностранно прекратяване на трудовото правоотношение, освен ако не са налице факти, които дават право на публичноправния субект да прекрати едностранно и без предизвестие трудовото правоотношение поради наличието на сериозно основание. Не се допуска едностранно прекратяване на трудовото правоотношение в срок от една година след преустановяване на функциите на длъжностно лице по защита на данните, освен ако публичноправният субект няма право да прекрати едностранно и без предизвестие трудовото правоотношение поради наличието на сериозно основание“.

10.

Член 38 от BDSG е озаглавен „Длъжностно лице по защита на данните в частни структури“ и предвижда:

„(1)   В допълнение към член 37, параграф 1, букви б) и в) от Регламент […] 2016/679 администраторът и обработващият лични данни определят длъжностно лице по защита на данните, ако в предприятието обикновено са заети най-малко десет лица[ ( 5 )], извършващи постоянно автоматизирана обработка на лични данни. […]

(2)   Член 6, параграф 4, параграф 5, второ изречение и параграф 6 е приложим, като параграф 4 се прилага само ако определянето на длъжностно лице по защита на данните е задължително“.

11.

Член 134 от Гражданския кодекс, в обнародваната редакция от 2 януари 2002 г. ( 6 ), е озаглавен „Законова забрана“ и гласи следното:

„Освен ако законът не предвижда друго, правната сделка, с която се нарушава законова забрана, е нищожна“.

12.

Член 626 от този кодекс е озаглавен „Едностранно прекратяване без предизвестие поради наличие на сериозно основание“ и гласи:

„(1)   Трудовото правоотношение може да бъде едностранно прекратено от всяка страна по договора поради наличие на сериозно основание, без да се спазва срокът на предизвестието, ако са налице факти, въз основа на които, като се вземат предвид всички обстоятелства по случая и се претеглят интересите на двете страни по договора, от прекратяващата страна не може да се очаква да продължи трудовото правоотношение до изтичането на срока на предизвестие или до уговореното прекратяване на трудовото правоотношение.

(2)   Едностранното прекратяване е допустимо само в рамките на две седмици. Срокът тече от момента, в който страната, която има право едностранно да прекрати договора, узнае релевантните за едностранното прекратяване факти [...]“.

13.

Leistritz е частно дружество, задължено съгласно германското право да определи длъжностно лице по защита на данните. LH работи в него като ръководител на правния отдел и като длъжностно лице по защита на данните, съответно от 15 януари 2018 г. и от 1 февруари 2018 г.

14.

С писмо от 13 юли 2018 г. Leistritz уволнява LH с предизвестие, считано от 15 август 2018 г., като се обосновава с преструктуриране на предприятието, при което дейностите по правно обслужване и защита на данните вместо на вътрешни, са възложени на външни изпълнители.

15.

Съдът, сезиран от LH с иск за признаване на уволнението за нищожно, приема, че съгласно член 38, параграф 2 във връзка с член 6, параграф 4, второ изречение от BDSG LH, поради качеството си на длъжностно лице по защита на данните, може да бъде уволнена без предизвестие само при наличие на сериозно основание за това. Описаното от Leistritz преструктуриране обаче не представлявало сериозно основание за уволнение без предизвестие.

16.

Запитващата юрисдикция, сезирана с подадената от Leistritz ревизионна жалба, посочва, че съгласно германското право уволнението на LH е нищожно на основание на тези разпоредби и член 134 от Гражданския кодекс ( 7 ). Тя обаче отбелязва, че приложимостта на такива разпоредби зависи от това дали правото на Съюза, и в частност член 38, параграф 3, второ изречение от Регламент 2016/679, допуска правна уредба на държава членка, която обвързва уволнението на длъжностно лице по защита на данните с по-строги от предвидените в правото на Съюза изисквания. Ако не е така, би следвало да уважи ревизионната жалба.

17.

При тези обстоятелства Bundesarbeitsgericht (Федерален трудов съд) решава да спре производството и да постави на Съда следните преюдициални въпроси:

18.

Писмени становища представят LH, Leistritz, германското и румънското правителство, както и Европейският парламент, Съветът на Европейския съюз и Европейската комисия. Тези страни, с изключение на германското и румънското правителство, излагат устните си становища в съдебното заседание, проведено на 18 ноември 2021 г.

19.

С първия си въпрос запитващата юрисдикция по същество иска от Съда да установи дали член 38, параграф 3, второ изречение от Регламент 2016/679 трябва да се тълкува в смисъл, че не допуска национална правна уредба, съгласно която работодателят на длъжностно лице по защита на данните може да го уволни само при наличие на сериозно основание, дори когато уволнението не е свързано с изпълнението на задачите на това длъжностно лице.

20.

Отговорът на този въпрос предполага да се уточни, на първо място, обхватът на фразата „да бъде освобождавано от длъжност […] за изпълнението на своите задачи“, използвана от законодателя на Съюза в член 38, параграф 3, второ изречение от Регламент 2016/679. На второ място, трябва да се определи дали държавите членки имат възможността да разширяват гаранциите, с които длъжностното лице по защита на данните разполага съгласно тази разпоредба.

21.

Член 38 от Регламент 2016/679 е включен в глава IV от този регламент, която се отнася до „[а]дминистратор[а] и обработващ[ия] лични данни“, и по-специално в раздел 4, озаглавен „Длъжностно лице по защита на данните“. Този раздел съдържа три члена, отнасящи се съответно до определянето на длъжностното лице по защита на данните ( 8 ), до неговата длъжност ( 9 ) и до задачите му, които се състоят основно в това да предоставя персонални съвети относно обработването на данните и да наблюдава спазването на правилата за защита на данните ( 10 ).

22.

Съгласно постоянната практика на Съда, за да се тълкува член 38, параграф 3, второ изречение от Регламент 2016/679, трябва да се вземат предвид не само текстът на тази разпоредба, но и контекстът ѝ, както и целите, преследвани с правната уредба, от която тя е част ( 11 ).

23.

Относно текста на член 38, параграф 3, второ изречение от Регламент 2016/679 отбелязвам, че с него се формулира отрицателно задължение. Всъщност той гласи, че „[д]лъжностното лице по защита на данните не може да бъде освобождавано от длъжност, нито санкционирано от администратора или обработващия лични данни за изпълнението на своите задачи“ ( 12 ).

24.

С това тази разпоредба определя периметъра на закрилата на длъжностното лице по защита на данните. Същото е защитено срещу всяко решение за освобождаването му от длъжност или за поставянето му в неизгодно положение, когато такова решение е свързано с изпълнението на неговите задачи.

25.

Що се отнася до разграничението между освобождаването от длъжност на длъжностното лице по защита на данните и санкционирането му, установявам, първо, че нито една разпоредба на Регламент 2016/679 не съдържа изрично или имплицитно определение на тези мерки ( 13 ).

26.

Сравнителният преглед на текстовете на други езици показва, че в член 38, параграф 3, второ изречение от Регламент 2016/679 става дума за два вида мерки, а именно освобождаването от длъжност на длъжностното лице по защита на данните и санкционирането или неблагоприятното третиране на това длъжностно лице независимо от рамката. Следователно тези определения могат да обхванат уволненията, с които работодателят прекратява трудов договор ( 14 ).

27.

Резултатите от проучването на подготвителните документи по приемането на член 38 от Регламент 2016/679, които успях да намеря, не позволяват да се изяснят точните намерения на законодателя на Съюза относно обхвата на термина „освобождавано“, доколкото липсват подробни данни. Може да се констатира само че редакционната добавка, свързана с освобождаването от длъжност, е внесена на късен етап от законодателния процес ( 15 ), като паралелно с това е премахната следната част от изречение, намирала се след „Администраторът или обработващият лични данни правят необходимото длъжностното лице по защита на данните“: „да може да действа независимо при изпълнението на задачите си“ ( 16 ). От това може да се заключи, че законодателят е искал да конкретизира задължението длъжностното лице по защита на данните да не бива освобождавано от длъжност заради изпълнението на неговите задачи.

28.

Отбелязвам също, че законодателят на Съюза е решил да възпроизведе дословно текста на член 38, параграф 3, второ изречение от Регламент 2016/679 в член 44, параграф 3, второ изречение от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 година относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО ( 17 ). От документите, свързани с изготвянето на Регламент 2018/1725, обаче не могат да се правят изводи, като причината за това според мен е добавянето в член 44, параграф 8 на още една съществена гаранция в полза на длъжностното лице по защита на данните, а именно че то „може да бъде освободено от длъжността от институцията или органа на Съюза, който го е назначил, ако престане да отговаря на необходимите условия за изпълнение на своите задължения, само със съгласието на Европейския надзорен орган по защита на данните“.

29.

Второ, отбелязвам, че в член 38, параграф 3, второ изречение от Регламент 2016/679 не се прави разграничение според това дали длъжностното лице по защита на данните е или не е член на персонала на администратора или на обработващия лични данни ( 18 ). Всъщност този регламент не съдържа никаква разпоредба относно взаимовръзката между решенията, които работодателят приема в рамките на трудовото правоотношение, и решенията, които се отнасят до функциите на това длъжностно лице. Единственото предвидено ограничение се отнася до това кое не може да служи като основание за прекратяване на функциите на длъжностното лице по защита на данните, а именно всяко основание, свързано с изпълнението на неговите задачи.

30.

Що се отнася до целта, преследвана от законодателя на Съюза, тя е причината за общата формулировка на член 38, параграф 3, второ изречение от Регламент 2016/679, както и за избора на посоченото ограничение.

31.

Всъщност в проекта за изложение на мотивите на Съвета се уточнява, че целта на определянето на длъжностно лице по защита на данните е да се подобри спазването на Регламент 2016/679 ( 19 ). Ето защо член 38, параграф 3, второ изречение от този регламент установява задължения, годни да гарантират независимостта на това длъжностно лице. Така в същия този член е предвидено, че длъжностното лице по защита на данните не трябва да получава никакви указания във връзка с изпълнението на задачите си и че трябва да се отчита пряко пред най-висшето ръководно ниво на администратора или обработващия лични данни ( 20 ). То е длъжно също така да опазва професионалната тайна или поверителността ( 21 ).

32.

Следователно ударението е поставено върху прецизното очертаване на функциите на длъжностното лице по защита на данните, което е особено оправдано в случаите, когато това длъжностно лице е определено от администратор на лични данни, който е и негов работодател. Така с установената в член 38, параграф 3, второ изречение от Регламент 2016/679 забрана са гарантирани прерогативите, с които посоченото длъжностно лице разполага, за да изпълнява своите задачи, които понякога може да са трудно съвместими с наложените от работодателя в рамките на трудовото правоотношение.

33.

Тълкуването, че единствената цел на тази разпоредба е да организира независимото изпълнение на функциите на длъжностното лице по защита на данните, се потвърждава и от контекста, в който тя е приета.

34.

В това отношение трябва да се подчертае, че съгласно член 1 от него Регламент 2016/679 има за цел да се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни. Той е приет на основание член 16, параграф 2 ДФЕС ( 22 ), поради което, както вече посочих в предходни заключения, следва да се приеме, че макар по естеството си защитата на личните данни да е широкообхватна, хармонизацията, извършена с този регламент, се ограничава само до аспектите, конкретно обхванати от него в тази област ( 23 ).

35.

Поради всички тези причини според мен няма съмнение, че предвидената в член 38, параграф 3, второ изречение от Регламент 2016/679 специална закрила на длъжностното лице по защита на данните е свързана с целта на този регламент, доколкото засилва самостоятелността на това длъжностно лице. Следователно тя не попада в по-широката област на закрилата на работниците ( 24 ).

36.

Така отново възниква въпросът дали извън аспектите, конкретно обхванати от Регламент 2016/679, държавите членки са свободни да законодателстват, стига да не засягат съдържанието и целите на този регламент ( 25 ).

37.

Според мен целта на Регламент 2016/679, посочена в съображение 13, в изпълнение на която в член 38, параграф 3, второ изречение от този регламент законодателят на Съюза гарантира в най-общ смисъл независимостта на длъжностното лице по защита на данните ( 26 ), обосновава необходимостта държавите членки да могат да приемат всякакви други мерки, които засилват самостоятелността на това длъжностно лице при изпълнението на неговите задачи.

38.

Този анализ не е в противоречие с действието на регламентите съгласно член 288, втора алинея ДФЕС, нито с последващото задължение за държавите членки да не дерогират регламент, който е задължителен в своята цялост и се прилага пряко, или да го допълват, освен ако разпоредбите на този регламент не признават на държавите членки свобода на действие, която трябва или може според случая да бъде използвана от последните при условията и в пределите, предвидени в тези разпоредби ( 27 ).

39.

Ето защо повтарям становището си, че обхватът на хармонизацията, извършена с Регламент 2016/679, е различен в зависимост от разглежданите разпоредби. Следователно определянето на нормативния обхват на този регламент изисква анализ на всеки отделен случай ( 28 ).

40.

В това отношение бих искал да отбележа, че член 38, параграф 3, второ изречение от Регламент 2016/679 третира единствено хипотезата, при която освобождаването от длъжност на длъжностното лице по защита на данните е свързано с изпълнение на неговите задачи, за което се предполага, че е правилно ( 29 ), като налага в това отношение забрана, без да определя степента на тежест на изтъкнатото основание или да се занимава с различните аспекти на съществуващото между това лице и работодателя му отношение на власт и подчинение, които могат да повлияят на назначаването. В този смисъл не се сочат като фактори например продължителността на трудовия договор или личното или икономическото основание за прекратяването му, което може евентуално да е предмет на договаряне, нито преустановяването на действието на трудовото правоотношение поради болест, обучение, годишен или продължителен отпуск.

41.

Впрочем намерението на законодателя на Съюза да остави на държавите членки грижата да допълнят разпоредбите за гарантиране на независимостта на длъжностното лице по защита на данните въз основа на минимална законодателна рамка относно изпълнението на задачите на това длъжностно лице, определена в съответствие с целите на Регламент 2016/679, се изразява и в липсата на предписания относно продължителността на мандата на това длъжностно лице — противно на предвиденото в член 44, параграф 8, първо изречение от Регламент 2018/1725 ( 30 ) — или относно случаите на преструктуриране на дружества, какъвто е настоящият, при което преструктуриране по причини, които нямат връзка с изпълнението на задачата на длъжностното лице по защита на данните, неговите функции се възлагат на външен изпълнител.

42.

Следователно държавите членки могат да решат да укрепят независимостта на длъжностното лице по защита на данните, доколкото то участва в изпълнението на целите на Регламент 2016/679, по-специално във връзка с уволнението, след като в правото на Съюза няма разпоредба, която да може да послужи като основание за специална и конкретна закрила на това длъжностно лице от уволнение, немотивирано с изпълнението на неговите задачи, въпреки че прекратяването на трудовото правоотношение задължително води до преустановяване на изпълнението на тези задачи.

43.

В това отношение следва да се припомни, че в областта на закрилата на работниците при прекратяване на трудовия договор член 153, параграф 1, буква г) ДФЕС уточнява, че Съюзът подкрепя и допълва дейностите на държавите членки, и че по-общо, в областта на социалната политика Съюзът и държавите членки разполагат, по силата на член 4, параграф 2, буква б) ДФЕС, със споделена компетентност по смисъла на член 2, параграф 2 ДФЕС, що се отнася до аспектите, определени в Договора за функционирането на ЕС.

44.

При тези обстоятелства всяка държава членка е свободна да установява специални разпоредби във връзка с уволнението на длъжностното лице по защита на данните, стига те да са съвместими с режима на закрила на това лице съгласно Регламент 2016/679 ( 31 ).

45.

Както следва от краткия преглед на правната уредба на държавите членки, с която успях да се запозная ( 32 ), повечето от тях не са приели специални разпоредби относно уволнението, като са се ограничили с пряко приложимата забрана по член 38, параграф 3, второ изречение от Регламент 2016/679 ( 33 ).

46.

Обратно, други държави членки са избрали да допълнят този член ( 34 ).

47.

В това отношение отбелязвам, че според работната група по член 29 „[к]ато нормално управленско правило, какъвто би бил случаят с всеки друг служител или изпълнител съгласно приложимото национално договорно или трудово и наказателно право, [длъжностно лице по защита на данните] все пак може да бъде освободено от длъжност по законосъобразен начин по причини, различни от изпълнението на неговите задачи като [длъжностно лице по защита на данните] (например в случай на кражба, физически, психологически или сексуален тормоз или подобни груби прояви на лошо поведение)“ ( 35 ).

48.

Независимо от избора на държавите членки, административният или съдебният орган във всяка от тях, който трябва да провери законосъобразността на основанието за освобождаване от длъжност на длъжностното лице по защита на данните, според мен също допринася да се гарантира независимостта на това длъжностно лице.

49.

Всъщност, тъй като има голяма вероятност връзката със задоволителното изпълнение на задачите на длъжностното лице по защита на данните да не личи недвусмислено от решението за освобождаването му от длъжност ( 36 ), може да се помисли за обща закрила, изведена от самото качество на длъжностно лице по защита на данните. В случая от обясненията на запитващата юрисдикция следва, че понятието „сериозно основание“, съгласно тълкуването му в германското право, навежда на извода, че с цел допълнителна закрила длъжностното лице по защита на данните не може да бъде освобождавано от длъжност в случай на преструктуриране ( 37 ). В същия смисъл впрочем може да се приеме, че в случай на икономически затруднения на предприятието, което има задължението да определи длъжностно лице по защита на данните и за целта е избрало един от своите служители, задачите на последния трябва да продължат да се изпълняват с оглед на целта на Регламент 2016/679 и приноса на такова длъжностно лице за нейното осъществяване, докато продължава дейността на работодателя.

50.

Забраната по член 38, параграф 3, второ изречение от Регламент 2016/679 обаче със сигурност има граници в хипотезата на обективни пропуски, които с оглед на задълженията си длъжностното лице по защита на данните е допуснало при изпълнението на своите задачи. Тези граници трябва да бъдат определени в съответствие с целта, която се преследва с този регламент ( 38 ).

51.

В този смисъл тълкуване, също така съответстващо на целта на Регламент 2016/679, според мен трябва да доведе до това да се приеме, че длъжностно лице по защита на данните може да бъде освободено от длъжност, ако вече не отговаря на посочените в член 37, параграф 5 от този регламент критерии за годност с оглед на изпълнението на задачите му, не изпълнява задълженията по член 38, параграф 3, първо и трето изречение, както и параграфи 5 и 6 от посочения регламент ( 39 ) или пък опитът му се оказва недостатъчен ( 40 ).

52.

Ето защо считам, че член 38, параграф 3, второ изречение от Регламент 2016/679 трябва да се тълкува в смисъл, че допуска национална правна уредба, съгласно която работодателят на длъжностно лице по защита на данните може да го уволни само при наличие на сериозно основание, дори когато уволнението не е свързано с изпълнението на задачите на това длъжностно лице.

53.

Тъй като е възможно Съдът да не сподели това гледище и да даде утвърдителен отговор на първия въпрос на запитващата юрисдикция, трябва да се отговори и на другите два преюдициални въпроса.

54.

С втория си въпрос запитващата юрисдикция иска да установи дали член 38, параграф 3, второ изречение от Регламент 2016/679 допуска национална правна уредба, която обявява за незаконно уволнението на длъжностното лице по защита на данните при липса на сериозно основание, дори уволнението да не е свързано с изпълнението на неговите задачи, когато определянето на длъжностното лице по защита на данните е задължително не по силата на член 37, параграф 1 от този регламент, а само съгласно националното право, както е предвидено в член 37, параграф 4 от посочения регламент.

55.

Отбелязвам, че нито член 38, параграф 3 от Регламент 2016/679, нито другите разпоредби в раздел 4 от този регламент, които се отнасят до длъжностното лице по защита на данните, правят разграничение според това дали определянето на това длъжностно лице е задължително или факултативно.

56.

Ето защо считам, че на запитващата юрисдикция следва да се отговори, че член 38, параграф 3, второ изречение от Регламент 2016/679 се прилага, без да трябва да се прави разграничение според това дали определянето на длъжностното лице по защита на данните е задължително по силата на правото на Съюза или по силата на националното право.

57.

Третият въпрос на запитващата юрисдикция се отнася до валидността на член 38, параграф 3, второ изречение от Регламент 2016/679, и по-конкретно до това дали е налице достатъчно правно основание за тази разпоредба, по-специално доколкото тя обхваща длъжностни лица по защита на данните, които се намират в трудово правоотношение с администратора.

58.

Предлагам на Съда да приеме, че е налице достатъчно правно основание за член 38, параграф 3, второ изречение от Регламент 2016/679, тъй като той цели само да предпази длъжностното лице по защита на данните от всякакви пречки при изпълнението на неговите задачи и понеже тази гаранция, независимо от наличието на трудово правоотношение, допринася за действителното постигане на целите на този регламент.

59.

Всъщност, от една страна, както посочих в рамките на анализа на първия преюдициален въпрос ( 41 ), правното основание на посочения регламент е член 16 ДФЕС. Освен това Съдът е постановил, че без да засяга член 39 ДЕС, този член представлява подходящо правно основание, когато защитата на личните данни е една от целите или основна съставна част от правилата, приемани от законодателя на Съюза ( 42 ).

60.

От друга страна, едното от тези условия според мен е изцяло изпълнено, що се отнася до ролята на длъжностното лице по защита на данните и приложимия спрямо него режим, определени в Регламент 2016/679. Функционалната независимост на това длъжностно лице, с която се цели да се изпълни изискването за осигуряване на високо ниво на защита на основните права на лицата, засегнати от обработването на лични данни ( 43 ), се гарантира с наложената с член 38, параграф 3, второ изречение от този регламент забрана то да бъде освобождавано от длъжност по причини, свързани с неговите задачи. Доколкото тази разпоредба не налага каквато и да е хармонизация в областта на трудовото право, законодателят на Съюза не е превишил нормативните правомощия, предоставени му с член 16, параграф 2 ДФЕС.

61.

Колкото до спазването на принципите на субсидиарност и на пропорционалност, което запитващата юрисдикция също иска да се установи, отбелязвам, първо, че засилването на трансграничното обработване на лични данни е основание защитата на тези данни от гледна точка на основните права да се осъществява на равнището на Съюза ( 44 ), като се гарантират по-специално прерогативите на длъжностното лице по защита на данните, считано за „важен фактор“ за тази защита ( 45 ). Второ, член 38, параграф 3, второ изречение от Регламент 2016/679 според мен не надхвърля необходимото за гарантирането на функционалната независимост на това длъжностно лице. Предвидената в тази разпоредба гаранция това лице да не бъде освобождавано от длъжност, наистина със сигурност оказва въздействие върху трудовото правоотношение. Това въздействие обаче цели единствено да запази полезното действие на длъжността на длъжностното лице по защита на данните.

62.

Ето защо смятам, че на запитващата юрисдикция трябва да се отговори, че при разглеждането на третия преюдициален въпрос не се установяват обстоятелства, които да засягат валидността на член 38, параграф 3, второ изречение от Регламент 2016/679.

63.

С оглед на всички изложени по-горе съображения предлагам на Съда да отговори на поставените от Bundesarbeitsgericht (Федерален трудов съд, Германия) преюдициални въпроси по следния начин:

При условията на евентуалност, ако Съдът отговори утвърдително на първия преюдициален въпрос: