EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62020CC0534

Προτάσεις του γενικού εισαγγελέα J. Richard de la Tour της 27ης Ιανουαρίου 2022.
Leistritz AG κατά LH.
Αίτηση του Bundesarbeitsgericht για την έκδοση προδικαστικής αποφάσεως.
Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 38, παράγραφος 3, δεύτερη περίοδος – Υπεύθυνος προστασίας δεδομένων – Απαγόρευση προς τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απολύσουν τον υπεύθυνο προστασίας δεδομένων ή να του επιβάλουν κυρώσεις επειδή επιτέλεσε τα καθήκοντά του – Νομική βάση – Άρθρο 16 ΣΛΕΕ – Απαίτηση λειτουργικής ανεξαρτησίας – Εθνική νομοθεσία που απαγορεύει την απόλυση υπεύθυνου προστασίας δεδομένων χωρίς σπουδαίο λόγο.
Υπόθεση C-534/20.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:62

  The document is unavailable in your User interface language.

 ΠΡΟΤΑΣΕΙΣ ΤΟΥ ΓΕΝΙΚΟΥ ΕΙΣΑΓΓΕΛΕΑ

JEAN RICHARD DE LA TOUR

της 27ης Ιανουαρίου 2022 ( 1 )

Υπόθεση C‑534/20

Leistritz AG

κατά

LH

[αίτηση του Bundesarbeitsgericht
(Ομοσπονδιακού Δικαστηρίου Εργατικών Διαφορών, Γερμανία)
για την έκδοση προδικαστικής αποφάσεως]

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 38, παράγραφος 3, δεύτερη περίοδος – Υπεύθυνος προστασίας δεδομένων – Απαγόρευση παύσης του λόγω εκτέλεσης των καθηκόντων του – Νομική βάση – Άρθρο 16 ΣΛΕΕ – Κύρος – Απαίτηση λειτουργικής ανεξαρτησίας – Έκταση της εναρμόνισης – Εθνική νομοθεσία που απαγορεύει την απόλυση υπεύθυνου προστασίας δεδομένων χωρίς σπουδαίο λόγο – Υπεύθυνος προστασίας δεδομένων ο οποίος ορίζεται υποχρεωτικά βάσει του εθνικού δικαίου»

I. Εισαγωγή

1.

Η αίτηση προδικαστικής αποφάσεως του Bundesarbeitsgericht (Ομοσπονδιακού Δικαστηρίου Εργατικών Διαφορών, Γερμανία) αφορά την ερμηνεία και το κύρος του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) ( 2 ).

2.

Η υπό κρίση αίτηση προδικαστικής αποφάσεως υποβλήθηκε στο πλαίσιο διαφοράς μεταξύ της LH και της εργοδότριάς της, Leistritz AG, με αντικείμενο την καταγγελία της σύμβασης εργασίας της LH λόγω αναδιοργάνωσης των υπηρεσιών της εταιρίας, παρότι, κατά την εφαρμοστέα γερμανική νομοθεσία, η LH, καθόσον έχει οριστεί υπεύθυνη προστασίας δεδομένων, μπορεί να απολυθεί μόνο για σπουδαίο λόγο χωρίς τήρηση της προθεσμίας προειδοποίησης.

3.

Με τις παρούσες προτάσεις, θα εκθέσω τους λόγους για τους οποίους φρονώ ότι η απαγόρευση παύσης του υπεύθυνου προστασίας δεδομένων, η οποία προβλέπεται στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679, δεν είναι αποτέλεσμα εναρμόνισης ουσιαστικών κανόνων του εργατικού δικαίου και τούτο παρέχει στα κράτη μέλη την ευχέρεια να ενισχύσουν την προστασία του εν λόγω υπεύθυνου προστασίας δεδομένων στις εθνικές ρυθμίσεις τους σε διάφορους τομείς, κατά τρόπο σύμφωνο με τον σκοπό που επιδιώκεται με τον εν λόγω κανονισμό.

II. Το νομικό πλαίσιο

Α.   Ο κανονισμός 2016/679

4.

Οι αιτιολογικές σκέψεις 10, 13 και 97 του κανονισμού 2016/679 έχουν ως εξής:

«(10)

Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της [Ευρωπαϊκής] Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]

[…]

(13)

Για να διασφαλιστεί συνεκτικό επίπεδο προστασίας των φυσικών προσώπων σε ολόκληρη την Ένωση και προς αποφυγή αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά, απαιτείται κανονισμός ο οποίος θα κατοχυρώνει την ασφάλεια δικαίου και τη διαφάνεια για τους οικονομικούς παράγοντες, περιλαμβανομένων των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων, και θα προβλέπει για τα φυσικά πρόσωπα σε όλα τα κράτη μέλη το ίδιο επίπεδο νομικά εκτελεστών δικαιωμάτων και υποχρεώσεων, καθώς και ευθυνών για τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία, ώστε να διασφαλιστεί η συνεκτική παρακολούθηση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών. […]

[…]

(97)

[…] Οι εν λόγω υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας, θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με ανεξάρτητο τρόπο.»

5.

Το άρθρο 1 του ως άνω κανονισμού, που φέρει τον τίτλο «Αντικείμενο και στόχοι», ορίζει στην παράγραφο 1 τα εξής:

«Ο παρών κανονισμός θεσπίζει κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και κανόνες που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα.»

6.

Το άρθρο 37 του εν λόγω κανονισμού, το οποίο φέρει τον τίτλο «Ορισμός του υπευθύνου προστασίας δεδομένων», ορίζει στις παραγράφους του 1 και 4 έως 6 τα εξής:

«1.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α)

η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαστικής τους ιδιότητας,

β)

οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

γ)

οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

[…]

4.   Σε περιπτώσεις πλην των αναφερόμενων στην παράγραφο 1, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία ή ενώσεις και άλλοι φορείς που εκπροσωπούν κατηγορίες υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία μπορούν να ορίζουν υπεύθυνο προστασίας δεδομένων ή, όπου απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους, ορίζουν υπεύθυνο προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων μπορεί να ενεργεί για τις εν λόγω ενώσεις και τους άλλους φορείς που εκπροσωπούν υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία.

5.   Ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων που αναφέρονται στο άρθρο 39.

6.   Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.»

7.

Το άρθρο 38 του ίδιου κανονισμού, το οποίο φέρει τον τίτλο «Θέση του υπευθύνου προστασίας δεδομένων», ορίζει τα εξής:

«1.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει, δεόντως και εγκαίρως, σε όλα τα ζητήματα τα οποία σχετίζονται με την προστασία δεδομένων προσωπικού χαρακτήρα.

[…]

3.   Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζ[ουν] ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

4.   Τα υποκείμενα των δεδομένων μπορούν να επικοινωνούν με τον υπεύθυνο προστασίας δεδομένων για κάθε ζήτημα σχετικό με την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα και με την άσκηση των δικαιωμάτων τους δυνάμει του παρόντος κανονισμού.

5.   Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.

6.   Ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί και άλλα καθήκοντα και υποχρεώσεις. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι τα εν λόγω καθήκοντα και υποχρεώσεις δεν συνεπάγονται σύγκρουση συμφερόντων.»

8.

Το άρθρο 39 του κανονισμού 2016/679 προβλέπει τα κύρια καθήκοντα του υπεύθυνου προστασίας δεδομένων.

Β.   Το γερμανικό δίκαιο

9.

Το άρθρο 6 του Bundesdatenschutzgesetz (ομοσπονδιακού νόμου περί προστασίας δεδομένων), της 20ής Δεκεμβρίου 1990 ( 3 ), όπως ίσχυε από τις 25 Μαΐου 2018 έως τις 25 Νοεμβρίου 2019 ( 4 ), το οποίο φέρει τον τίτλο «Θέση», ορίζει στην παράγραφο 4 τα εξής:

«Παύση της υπεύθυνης ή του υπεύθυνου προστασίας δεδομένων επιτρέπεται μόνον κατ’ ανάλογη εφαρμογή του άρθρου 626 του Bürgerliches Gesetzbuch [Αστικού Κώδικα]. Καταγγελία της σχέσεως εργασίας δεν επιτρέπεται, εκτός αν υφίστανται πραγματικά περιστατικά τα οποία παρέχουν στον δημόσιο φορέα δικαίωμα καταγγελίας για σπουδαίο λόγο χωρίς τήρηση προθεσμίας προειδοποίησης. Μετά τη λήξη της άσκησης καθηκόντων υπεύθυνης ή υπεύθυνου προστασίας δεδομένων απαγορεύεται για διάστημα ενός έτους η καταγγελία της σχέσεως εργασίας, εκτός αν ο δημόσιος φορέας έχει δικαίωμα καταγγελίας για σπουδαίο λόγο χωρίς τήρηση προθεσμίας προειδοποίησης.»

10.

Το άρθρο 38 του BDSG, το οποίο επιγράφεται «Υπεύθυνοι προστασίας δεδομένων ιδιωτικών φορέων», προβλέπει τα εξής:

«(1)   Συμπληρωματικά προς το άρθρο 37, παράγραφος 1, στοιχεία βʹ και γʹ, του κανονισμού […] 2016/679, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία δεδομένων ορίζουν υπεύθυνη ή υπεύθυνο προστασίας δεδομένων, εφόσον κατά κανόνα απασχολούν, σε μόνιμη βάση, τουλάχιστον δέκα άτομα [ ( 5 )] για την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα. […]

(2)   Το άρθρο 6, παράγραφος 4, παράγραφος 5, δεύτερη περίοδος, και παράγραφος 6, έχει εφαρμογή· εντούτοις, το άρθρο 6, παράγραφος 4, εφαρμόζεται μόνον εάν ο ορισμός υπεύθυνης ή υπεύθυνου προστασίας δεδομένων είναι υποχρεωτικός.»

11.

Το άρθρο 134 του Bürgerliches Gesetzbuch (Αστικού Κώδικα, στο εξής: Αστικός Κώδικας), όπως δημοσιεύτηκε στις 2 Ιανουαρίου 2002 ( 6 ), φέρει τον τίτλο «Απαγόρευση εκ του νόμου» και έχει ως εξής:

«Δικαιοπραξία που αντιβαίνει σε απαγορευτική διάταξη νόμου είναι άκυρη εκτός εάν νόμος άλλως ορίζει.»

12.

Το άρθρο 626 του Αστικού Κώδικα, το οποίο επιγράφεται «Έκτακτη καταγγελία για σπουδαίο λόγο», ορίζει τα εξής:

«(1)   Καθένας από τους συμβαλλομένους μπορεί να καταγγείλει τη σχέση εργασίας για σπουδαίο λόγο χωρίς τήρηση προθεσμίας, εφόσον από τα γεγονότα, λαμβανομένων υπόψη όλων των περιστάσεων κάθε περιπτώσεως και κατόπιν σταθμίσεως των συμφερόντων αμφοτέρων των συμβαλλομένων, προκύπτει ότι η εξακολούθηση της σχέσης εργασίας έως τη λήξη της προθεσμίας προειδοποίησης ή έως τον συνομολογηθέντα χρόνο λήξης της σχέσης εργασίας δεν μπορεί ευλόγως να απαιτείται από τον καταγγέλλοντα.

(2)   Η καταγγελία μπορεί να γίνεται αποκλειστικώς εντός διαστήματος δύο εβδομάδων. Η προθεσμία αρχίζει να τρέχει από τον χρόνο κατά τον οποίο ο έχων δικαίωμα καταγγελίας έλαβε γνώση των περιστατικών που είναι κρίσιμα για την καταγγελία. […]»

III. Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

13.

Η Leistritz είναι εταιρία ιδιωτικού δικαίου, η οποία υποχρεούται δυνάμει του γερμανικού δικαίου να ορίζει υπεύθυνο προστασίας δεδομένων. Η LH εργάστηκε στη Leistritz ως προϊσταμένη της υπηρεσίας νομικών υποθέσεων και ως εσωτερική υπεύθυνη προστασίας δεδομένων, αντιστοίχως, από τις 15 Ιανουαρίου 2018 και από την 1η Φεβρουαρίου 2018.

14.

Με έγγραφο της 13ης Ιουλίου 2018, η Leistritz προέβη σε τακτική καταγγελία της σχέσης εργασίας με την LH, με ισχύ από τις 15 Αυγούστου 2018, επικαλούμενη μέτρο αναδιάρθρωσης της επιχείρησης στο πλαίσιο του οποίου η εσωτερική δραστηριότητα παροχής νομικών συμβουλών και η υπηρεσία προστασίας των δεδομένων ανατίθεντο σε εξωτερικό πάροχο υπηρεσιών.

15.

Τα δικαστήρια της ουσίας ενώπιον των οποίων προσέφυγε η LH αμφισβητώντας το κύρος της απόλυσής της έκριναν ότι, βάσει του άρθρου 38, παράγραφος 2, σε συνδυασμό με το άρθρο 6, παράγραφος 4, δεύτερη περίοδος, του BDSG, η LH, ως υπεύθυνη προστασίας δεδομένων, μπορεί να απολυθεί μόνο με έκτακτη καταγγελία για σπουδαίο λόγο. Το δε περιγραφέν από τη Leistritz μέτρο αναδιάρθρωσης δεν συνιστά σπουδαίο λόγο έκτακτης καταγγελίας της σύμβασης.

16.

Το αιτούν δικαστήριο, επιληφθέν της αναιρέσεως (Revision) που άσκησε η Leistritz, παρατηρεί ότι, βάσει του γερμανικού δικαίου, η απόλυση της LH είναι άκυρη, κατ’ εφαρμογήν των ως άνω διατάξεων και του άρθρου 134 του Αστικού Κώδικα ( 7 ). Επισημαίνει εντούτοις ότι η δυνατότητα εφαρμογής των εν λόγω διατάξεων εξαρτάται από το κατά πόσον το δίκαιο της Ένωσης, και ειδικότερα το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679, δεν αντιτίθεται σε ρύθμιση κράτους μέλους κατά την οποία η καταγγελία σύμβασης εργασίας του υπεύθυνου προστασίας δεδομένων υπόκειται σε αυστηρότερες προϋποθέσεις από εκείνες τις οποίες προβλέπει το δίκαιο της Ένωσης. Εάν η εθνική ρύθμιση δεν συμβιβάζεται με το δίκαιο της Ένωσης, το αιτούν δικαστήριο θα πρέπει να δεχθεί την αίτηση αναιρέσεως.

17.

Υπό τις συνθήκες αυτές, το Bundesarbeitsgericht (Ομοσπονδιακό Δικαστήριο Εργατικών Διαφορών) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)

Έχει το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού [2016/679] την έννοια ότι αντιτίθεται σε διάταξη του εθνικού δικαίου, όπως, στην παρούσα υπόθεση, το άρθρο 38, παράγραφος 1 και παράγραφος 2, σε συνδυασμό με το άρθρο 6, παράγραφος 4, δεύτερη περίοδος, του BDSG, η οποία χαρακτηρίζει ως παράνομη την τακτική καταγγελία της σχέσεως εργασίας του υπεύθυνου για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας, ο οποίος είναι εργοδότης του, ανεξαρτήτως του αν η καταγγελία γίνεται λόγω της εκτέλεσης των καθηκόντων του πρώτου;

2)

Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα:

Αντιτίθεται το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, [του κανονισμού 2016/679] σε διάταξη του εθνικού δικαίου με το ανωτέρω περιεχόμενο ακόμη και σε περίπτωση που ο ορισμός του υπεύθυνου προστασίας δεδομένων δεν είναι υποχρεωτικός βάσει του άρθρου 37, παράγραφος 1, [του εν λόγω κανονισμού], αλλά μόνον βάσει του δικαίου του κράτους μέλους;

3)

Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα:

Θεμελιώνεται το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, [του κανονισμού 2016/679] σε επαρκή εξουσιοδοτική βάση, ιδίως στο μέτρο που αφορά υπεύθυνους προστασίας δεδομένων οι οποίοι συνδέονται με τον υπεύθυνο επεξεργασίας με σχέση εργασίας;»

18.

Γραπτές παρατηρήσεις κατέθεσαν η LH, η Leistritz, η Γερμανική και η Ρουμανική Κυβέρνηση, καθώς και το Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο της Ευρωπαϊκής Ένωσης και η Ευρωπαϊκή Επιτροπή. Με εξαίρεση τη Γερμανική και τη Ρουμανική Κυβέρνηση, οι ανωτέρω μετέχοντες στη διαδικασία ανέπτυξαν προφορικώς τις παρατηρήσεις τους κατά την επ’ ακροατηρίου συζήτηση που διεξήχθη στις 18 Νοεμβρίου 2021.

IV. Ανάλυση

Α.   Επί του πρώτου προδικαστικού ερωτήματος

19.

Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν από το Δικαστήριο να διευκρινίσει αν το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 έχει την έννοια ότι αντιβαίνει σε αυτό εθνική νομοθεσία η οποία προβλέπει ότι ο εργοδότης υπεύθυνου προστασίας δεδομένων μπορεί να τον απολύσει μόνο για σπουδαίο λόγο, ακόμη και αν η απόλυση δεν συνδέεται με την άσκηση των καθηκόντων του εν λόγω υπεύθυνου προστασίας δεδομένων.

20.

Η απάντηση στο ως άνω ερώτημα προϋποθέτει, κατά πρώτον, να διευκρινιστεί το περιεχόμενο της φράσης «[παύεται] […] επειδή επιτέλεσε τα καθήκοντά του» που χρησιμοποιεί ο νομοθέτης της Ένωσης στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679. Κατά δεύτερον, θα πρέπει να εξακριβωθεί αν τα κράτη μέλη έχουν την ευχέρεια να διευρύνουν τις εγγυήσεις των οποίων απολαύει ο υπεύθυνος προστασίας δεδομένων κατ’ εφαρμογήν της εν λόγω διάταξης.

1. Επί της προστασίας του υπεύθυνου προστασίας δεδομένων που προβλέπεται στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679

21.

Το άρθρο 38 του κανονισμού 2016/679 περιλαμβάνεται στο κεφάλαιο IV του εν λόγω κανονισμού, που επιγράφεται «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», και ειδικότερα στο τμήμα 4, που φέρει τον τίτλο «Υπεύθυνος προστασίας δεδομένων». Το εν λόγω τμήμα περιλαμβάνει τρία άρθρα, τα οποία αφορούν, αντιστοίχως, τον ορισμό του υπεύθυνου προστασίας δεδομένων ( 8 ), τη θέση του ( 9 ) και τα καθήκοντά του, τα οποία συνίστανται, κατ’ ουσίαν, στην παροχή προσωπικών συμβουλών σχετικά με την επεξεργασία των δεδομένων και στον έλεγχο της τήρησης των κανόνων περί προστασίας των δεδομένων ( 10 ).

22.

Για την ερμηνεία του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679, πρέπει, κατά την πάγια νομολογία του Δικαστηρίου, να ληφθούν υπόψη όχι μόνον το γράμμα της εν λόγω διάταξης, αλλά και το πλαίσιο στο οποίο αυτή εντάσσεται και οι σκοποί που επιδιώκονται με τη ρύθμιση της οποίας αποτελεί μέρος ( 11 ).

23.

Όσον αφορά το γράμμα του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679, παρατηρώ ότι θεσπίζει υποχρέωση με αρνητική διατύπωση. Συγκεκριμένα, η εν λόγω διάταξη προβλέπει ότι ο υπεύθυνος προστασίας δεδομένων «[δ]εν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του» ( 12 ).

24.

Επομένως, η εν λόγω διάταξη καθορίζει τα όρια της προστασίας του υπεύθυνου προστασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων προστατεύεται, αφενός, από κάθε απόφαση με την οποία παύεται ή περιέρχεται σε μειονεκτική θέση σε περίπτωση που, αφετέρου, μια τέτοια απόφαση συνδέεται με την άσκηση των καθηκόντων του.

25.

Όσον αφορά τη διαφοροποίηση μεταξύ του μέτρου παύσης του υπεύθυνου προστασίας δεδομένων και του μέτρου επιβολής κυρώσεων εις βάρος του, διαπιστώνω, πρώτον, ότι καμία διάταξη του κανονισμού 2016/679 δεν περιέχει ρητώς ή εμμέσως ορισμό των εν λόγω μέτρων ( 13 ).

26.

Κατόπιν συγκριτικής εξέτασης άλλων γλωσσικών αποδόσεων, θα μπορούσε να γίνει δεκτό ότι στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 προβλέπονται δύο είδη μέτρων, ήτοι εκείνα με τα οποία παύεται ο υπεύθυνος προστασίας δεδομένων και εκείνα που συνιστούν κυρώσεις ή περιάγουν τον εν λόγω υπεύθυνο προστασίας δεδομένων σε μειονεκτική θέση, ανεξαρτήτως του πλαισίου τους. Επομένως, οι εν λόγω ορισμοί μπορούν να καλύπτουν τις απολύσεις με τις οποίες ο εργοδότης επιφέρει τη λήξη σύμβασης εργασίας ( 14 ).

27.

Οι έρευνές μου σχετικά με το ιστορικό θέσπισης του άρθρου 38 του κανονισμού 2016/679, το οποίο μπόρεσα να συμβουλευτώ, δεν απέδωσαν λεπτομερή στοιχεία και, επομένως, δεν παρέχουν διευκρινίσεις για τις ακριβείς προθέσεις του νομοθέτη της Ένωσης όσον αφορά το περιεχόμενο του όρου «απολύεται». Διαπιστώνεται μόνον ότι η διάταξη σχετικά με την παύση από τα καθήκοντα προστέθηκε σε ύστερο στάδιο της νομοθετικής διαδικασίας ( 15 ), κατά το οποίο απαλείφθηκε συγχρόνως το σκέλος περιόδου «δύναται να ενεργεί κατά τρόπο ανεξάρτητο όσον αφορά την άσκηση των καθηκόντων του» ( 16 ), το οποίο έπετο της φράσης «[ο] υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζουν ότι ο υπεύθυνος προστασίας δεδομένων». Εξ αυτού θα μπορούσε να συναχθεί ότι ο νομοθέτης της Ένωσης θέλησε να εξειδικεύσει την υποχρέωση να μην παύεται ο υπεύθυνος επεξεργασίας δεδομένων επειδή επιτέλεσε τα καθήκοντά του.

28.

Παρατηρώ επίσης ότι ο νομοθέτης της Ένωσης επέλεξε να επαναλάβει αυτούσιο το γράμμα του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 στο άρθρο 44, παράγραφος 3, δεύτερη περίοδος, του κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών, και για την κατάργηση του κανονισμού (ΕΚ) αριθ. 45/2001 και της απόφασης αριθ. 1247/2002/ΕΚ ( 17 ). Εντούτοις, ουδεμία διευκρίνιση μπορεί να αντληθεί από τα σχετικά με την κατάρτιση του κανονισμού 2018/1725 έγγραφα, πράγμα το οποίο δικαιολογείται, κατά τη γνώμη μου, από την προσθήκη στο άρθρο 44, παράγραφος 8, μιας άλλης βασικής εγγύησης η οποία παρέχεται στον υπεύθυνο προστασίας δεδομένων, ήτοι ότι ο υπεύθυνος προστασίας δεδομένων «είναι δυνατό να απαλλάσσεται από τα καθήκοντά του από το όργανο ή τον οργανισμό της Ένωσης που τον διόρισε εφόσον έχει παύσει να πληροί τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του και μόνο με τη συγκατάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων».

29.

Δεύτερον, επισημαίνω ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 δεν προβαίνει σε οποιαδήποτε διαφοροποίηση ανάλογα με το αν ο υπεύθυνος προστασίας δεδομένων είναι ή όχι μέλος του προσωπικού του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία ( 18 ). Συγκεκριμένα, ο εν λόγω κανονισμός δεν περιέχει καμία διάταξη σχετικά με την αλληλεξάρτηση μεταξύ των αποφάσεων που λαμβάνει ο εργοδότης στο πλαίσιο της σχέσης εργασίας και εκείνων που αφορούν τα καθήκοντα του υπεύθυνου προστασίας δεδομένων. Το μόνο όριο που θέτει ο κανονισμός αφορά τον λόγο για τον οποίο δεν μπορεί να παυθεί ο υπεύθυνος προστασίας δεδομένων, ήτοι κάθε λόγο που ανάγεται στην άσκηση των καθηκόντων του.

30.

Ο σκοπός που επιδιώκει ο νομοθέτης της Ένωσης δικαιολογεί τη γενική διατύπωση του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 καθώς και την επιλογή του εν λόγω ορίου.

31.

Συγκεκριμένα, στο σχέδιο αιτιολογικής έκθεσης του Συμβουλίου διευκρινίζεται ότι σκοπός του ορισμού υπεύθυνου προστασίας δεδομένων είναι η βελτίωση της συμμόρφωσης προς τον κανονισμό 2016/679 ( 19 ). Προς τούτο το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του εν λόγω κανονισμού καθορίζει υποχρεώσεις ικανές να διασφαλίζουν την ανεξαρτησία του υπεύθυνου προστασίας δεδομένων. Συγκεκριμένα, στο ίδιο άρθρο προβλέπεται ότι ο υπεύθυνος προστασίας δεδομένων δεν πρέπει να λαμβάνει εντολές όσον αφορά την άσκηση των καθηκόντων του και πρέπει να λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία ( 20 ). Υπέχει επίσης υποχρέωση τήρησης του απορρήτου ή της εμπιστευτικότητας ( 21 ).

32.

Επομένως, δίδεται έμφαση στην αυστηρή ρύθμιση των καθηκόντων του υπεύθυνου προστασίας δεδομένων, η οποία δικαιολογείται ιδίως όταν ο εν λόγω υπεύθυνος προστασίας δεδομένων ορίζεται από υπεύθυνο επεξεργασίας δεδομένων που είναι ο εργοδότης του. Συνεπώς, με την απαγόρευση που προβλέπεται στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 διασφαλίζονται τα προνόμια τα οποία έχει ο υπεύθυνος προστασίας δεδομένων για τους σκοπούς της άσκησης των καθηκόντων του, τα οποία, σε ορισμένες περιπτώσεις, μπορεί να μη συμβιβάζονται ευχερώς με εκείνα που καθόρισε ο εργοδότης στο πλαίσιο της σχέσης εργασίας.

33.

Η ερμηνεία κατά την οποία μοναδικός σκοπός της εν λόγω διάταξης είναι η οργάνωση της άσκησης με ανεξάρτητο τρόπο των καθηκόντων του υπεύθυνου προστασίας δεδομένων επιρρωννύεται από το πλαίσιο στο οποίο εντάσσεται η συγκεκριμένη διάταξη.

34.

Συναφώς, υπογραμμίζεται ότι, κατά το άρθρο του 1, σκοπός του κανονισμού 2016/679 είναι η θέσπιση των κανόνων που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και των κανόνων που αφορούν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα. Συγκεκριμένα, νομική βάση του κανονισμού είναι το άρθρο 16, παράγραφος 2, ΣΛΕΕ ( 22 ) και τούτο οδηγεί στο συμπέρασμα, όπως έχω εκθέσει σε προηγούμενες προτάσεις, ότι, μολονότι η προστασία των δεδομένων προσωπικού χαρακτήρα είναι εκ φύσεως οριζόντια, η εναρμόνιση στην οποία προβαίνει ο εν λόγω κανονισμός αφορά μόνον τις πτυχές που καλύπτονται ειδικώς από τον συγκεκριμένο κανονισμό στον συγκεκριμένο τομέα ( 23 ).

35.

Για όλους τους ως άνω λόγους, δεν χωρεί αμφιβολία, κατ’ εμέ, ότι η ειδική προστασία του υπεύθυνου προστασίας δεδομένων, η οποία προβλέπεται στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679, αφορά ειδικώς και αποκλειστικώς το αντικείμενο του εν λόγω κανονισμού, καθόσον ενισχύει την αυτονομία του υπεύθυνου προστασίας δεδομένων. Επομένως δεν εντάσσεται στο ευρύτερο πεδίο της προστασίας των εργαζομένων ( 24 ).

36.

Ως εκ τούτου, τίθεται εκ νέου το ζήτημα αν, πέραν των πτυχών που καλύπτονται ειδικώς από τον κανονισμό 2016/679, τα κράτη μέλη παραμένουν ελεύθερα να νομοθετήσουν, εφόσον δεν θίγουν το περιεχόμενο και τους σκοπούς του εν λόγω κανονισμού ( 25 ).

2. Επί της ευχέρειας των κρατών μελών να διευρύνουν τις εγγυήσεις που παρέχει στον υπεύθυνο προστασίας δεδομένων το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679

37.

Κατά τη γνώμη μου, ο σκοπός του κανονισμού 2016/679 ο οποίος εκτίθεται στην αιτιολογική σκέψη του 13, κατ’ εφαρμογήν του οποίου ο νομοθέτης της Ένωσης εγγυάται γενικώς την ανεξαρτησία του υπεύθυνου προστασίας δεδομένων στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του εν λόγω κανονισμού ( 26 ), δικαιολογεί να μπορεί να ληφθεί από τα κράτη μέλη κάθε άλλο μέτρο το οποίο σκοπεί στην ενίσχυση της αυτονομίας του υπεύθυνου προστασίας δεδομένων κατά την άσκηση των καθηκόντων του.

38.

Η ως άνω ερμηνεία δεν προσκρούει στα αποτελέσματα ενός κανονισμού, όπως καθορίζονται στο άρθρο 288, δεύτερο εδάφιο, ΣΛΕΕ, ούτε στη συνακόλουθη υποχρέωση των κρατών μελών να μην παρεκκλίνουν από κανονισμό δεσμευτικό ως προς όλα τα μέρη του ο οποίος ισχύει άμεσα και να μη συμπληρώνουν τον κανονισμό εκτός εάν οι διατάξεις του αναγνωρίζουν στα κράτη μέλη διακριτική ευχέρεια η οποία μπορεί ή πρέπει, ανάλογα με την περίπτωση, να χρησιμοποιηθεί από αυτά υπό τις προϋποθέσεις και εντός των ορίων που προβλέπονται από τις εν λόγω διατάξεις ( 27 ).

39.

Ως εκ τούτου, επαναλαμβάνω ότι, κατά τη γνώμη μου, η έκταση της εναρμόνισης στην οποία προβαίνει ο κανονισμός 2016/679 διαφέρει ανάλογα με τις εξεταζόμενες διατάξεις. Επομένως, ο καθορισμός του κανονιστικού πεδίου ισχύος του εν λόγω κανονισμού απαιτεί κατά περίπτωση εξέταση ( 28 ).

40.

Συναφώς, επισημαίνω ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 αφορά την παύση του υπεύθυνου προστασίας δεδομένων στο μέτρο που συνδέεται αποκλειστικώς με την άσκηση των καθηκόντων του, η οποία τεκμαίρεται ορθή ( 29 ), υπό μορφή απαγόρευσης, χωρίς να καθορίζει βαθμό σοβαρότητας του προβαλλόμενου λόγου και χωρίς να λαμβάνει υπόψη τις διάφορες πτυχές της σχέσης εξάρτησης με τον εργοδότη του οι οποίες μπορεί να έχουν αντίκτυπο στον ορισμό του. Συγκεκριμένα, δεν ελήφθησαν υπόψη, για παράδειγμα, η διάρκεια της σύμβασης εργασίας ή ο προσωπικός ή οικονομικός λόγος της καταγγελίας της σύμβασης εργασίας, η οποία μπορεί ενδεχομένως να αποτελεί αντικείμενο διαπραγμάτευσης, ή ακόμη η αναστολή της σχέσης εργασίας λόγω ασθένειας, κατάρτισης, ετήσιας άδειας ή άδειας μεγάλης διάρκειας.

41.

Εξάλλου, η βούληση του νομοθέτη της Ένωσης να αφήσει τα κράτη μέλη να μεριμνήσουν για τη συμπλήρωση των διατάξεων προστασίας της ανεξαρτησίας του υπεύθυνου προστασίας δεδομένων επί τη βάσει ενός ελάχιστου νομοθετικού πλαισίου σχετικού με την άσκηση των καθηκόντων του, καθορισμένου σύμφωνα με τους σκοπούς του κανονισμού 2016/679, καθίσταται επίσης εμφανής από το γεγονός ότι δεν υπάρχει κανόνας σχετικός με τη διάρκεια της εντολής του υπεύθυνου προστασίας δεδομένων –εν αντιθέσει προς τα προβλεπόμενα στο άρθρο 44, παράγραφος 8, πρώτη περίοδος, του κανονισμού 2018/1725 ( 30 )– ή κανόνας σχετικός με την περίπτωση, που συντρέχει εν προκειμένω, της αναδιοργάνωσης επιχείρησης η οποία έχει ως αποτέλεσμα την εξωτερική ανάθεση των καθηκόντων του υπεύθυνου προστασίας δεδομένων για λόγους που δεν σχετίζονται με την εκτέλεση των καθηκόντων του.

42.

Ως εκ τούτου, τα κράτη μέλη μπορούν να αποφασίσουν να ενισχύσουν την ανεξαρτησία του υπεύθυνου προστασίας δεδομένων, καθόσον μετέχει στην υλοποίηση των σκοπών του κανονισμού 2016/679, ειδικότερα όσον αφορά την απόλυση, δεδομένου ότι στο δίκαιο της Ένωσης δεν υφίσταται διάταξη η οποία μπορεί να αποτελέσει τη βάση ειδικής και συγκεκριμένης προστασίας του υπεύθυνου προστασίας δεδομένων έναντι της απόλυσης για λόγο μη σχετιζόμενο με την άσκηση των καθηκόντων του, ενώ η καταγγελία της σχέσης εργασίας έχει κατ’ ανάγκην ως αποτέλεσμα τον τερματισμό των εν λόγω καθηκόντων.

43.

Συναφώς, υπενθυμίζεται ότι, στον τομέα της προστασίας των εργαζομένων, σε περίπτωση καταγγελίας της σύμβασης εργασίας, το άρθρο 153, παράγραφος 1, στοιχείο δʹ, ΣΛΕΕ διευκρινίζει ότι η Ένωση υποστηρίζει και συμπληρώνει τη δράση των κρατών μελών και ότι, γενικότερα, στον τομέα της κοινωνικής πολιτικής, η Ένωση και τα κράτη μέλη διαθέτουν, δυνάμει του άρθρου 4, παράγραφος 2, στοιχείο βʹ, ΣΛΕΕ, για τις πτυχές που καθορίζονται στη Συνθήκη ΛΕΕ, συντρέχουσα αρμοδιότητα, κατά την έννοια του άρθρου 2, παράγραφος 2, ΣΛΕΕ.

44.

Υπό τις συνθήκες αυτές, κάθε κράτος μέλος μπορεί να προβλέπει ελεύθερα ειδικές διατάξεις όσον αφορά την απόλυση του υπεύθυνου προστασίας δεδομένων, εφόσον οι εν λόγω διατάξεις συνάδουν με το καθεστώς προστασίας του υπεύθυνου προστασίας δεδομένων που προβλέπεται από τον κανονισμό 2016/679 ( 31 ).

45.

Όπως προκύπτει από τη συνοπτική εξέταση της νομοθεσίας των κρατών μελών που μπόρεσα να συμβουλευτώ ( 32 ), τα περισσότερα εξ αυτών δεν θέσπισαν ειδικές διατάξεις σχετικά με την απόλυση, αλλά περιορίστηκαν στην άμεσης ισχύος απαγόρευση που προβλέπεται στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 ( 33 ).

46.

Εντούτοις, άλλα κράτη μέλη επέλεξαν να συμπληρώσουν το επίμαχο άρθρο ( 34 ).

47.

Συναφώς, επισημαίνω ότι η ομάδα εργασίας του άρθρου 29 εκτίμησε ότι, «[σ]ύμφωνα με τους συνήθεις κανόνες διοίκησης και όπως ισχύει για οποιονδήποτε υπάλληλο ή ανάδοχο δυνάμει των διατάξεων του εφαρμοστέου εθνικού δικαίου περί συμβάσεων, καθώς και του εφαρμοστέου εθνικού εργατικού και ποινικού δικαίου, που διέπουν τους υπαλλήλους και τους αναδόχους, ο υπεύθυνος προστασίας δεδομένων μπορεί κάλλιστα να απολυθεί νομίμως για λόγους που δεν σχετίζονται με την επιτέλεση των καθηκόντων που απορρέουν από τη συγκεκριμένη ιδιότητα (π.χ., σε περίπτωση κλοπής, σωματικής, ψυχολογικής ή σεξουαλικής παρενόχλησης ή συναφούς σοβαρού παραπτώματος)» ( 35 ).

48.

Ανεξαρτήτως της επιλογής των κρατών μελών, το διοικητικό ή δικαιοδοτικό όργανο που είναι επιφορτισμένο, σε κάθε κράτος μέλος, με τον έλεγχο της νομιμότητας του λόγου απόλυσης του υπεύθυνου προστασίας δεδομένων συμβάλλει επίσης, κατά τη γνώμη μου, στη διασφάλιση της ανεξαρτησίας του εν λόγω υπεύθυνου προστασίας δεδομένων.

49.

Συγκεκριμένα, δεδομένου ότι είναι πολύ πιθανό η σχέση με την ικανοποιητική άσκηση των καθηκόντων του υπεύθυνου προστασίας δεδομένων να μην προκύπτει ρητώς από την απόφαση απόλυσής του ( 36 ), δεν αποκλείεται μια γενική προστασία η οποία προκύπτει από την ιδιότητα και μόνον του υπεύθυνου προστασίας δεδομένων. Εν προκειμένω, από τις επεξηγήσεις του αιτούντος δικαστηρίου προκύπτει ότι η έννοια του «σπουδαίου λόγου», όπως ερμηνεύεται στο γερμανικό δίκαιο, είναι αυτή που οδηγεί στο συμπέρασμα, για λόγους συμπληρωματικής προστασίας, ότι δεν επιτρέπεται παύση του υπεύθυνου προστασίας δεδομένων σε περίπτωση αναδιάρθρωσης ( 37 ). Στο ίδιο πνεύμα, θα μπορούσε εξάλλου να θεωρηθεί ότι, σε περίπτωση οικονομικών δυσχερειών της επιχείρησης που υποχρεούται να ορίσει υπεύθυνο προστασίας δεδομένων και έχει επιλέξει προς τούτο έναν εκ των υπαλλήλων της, αυτός θα πρέπει, λόγω του σκοπού του κανονισμού 2016/679 και της συμβολής του υπεύθυνου προστασίας δεδομένων στην εκπλήρωση του σκοπού αυτού, να συνεχίσει να ασκεί τα καθήκοντά του ενόσω διαρκεί η δραστηριότητα του εργοδότη.

50.

Εντούτοις, η προβλεπόμενη στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 απαγόρευση έχει κατ’ ανάγκην όρια σε περίπτωση αντικειμενικών δυσλειτουργιών κατά την άσκηση των καθηκόντων του υπεύθυνου προστασίας δεδομένων λαμβανομένων υπόψη των υποχρεώσεών του. Τα εν λόγω όρια πρέπει να καθορίζονται κατά τρόπο σύμφωνο προς τον σκοπό που επιδιώκεται από τον εν λόγω κανονισμό ( 38 ).

51.

Επομένως, κατά τη γνώμη μου, η ερμηνεία που συνάδει με τον σκοπό του κανονισμού 2016/679 πρέπει να δέχεται επίσης ότι είναι δυνατή η παύση του υπεύθυνου προστασίας δεδομένων όταν αυτός δεν πληροί πλέον τα ποιοτικά κριτήρια που είναι αναγκαία για την άσκηση των καθηκόντων του, όπως αυτά που προβλέπονται στο άρθρο 37, παράγραφος 5, του εν λόγω κανονισμού, ή δεν εκπληρώνει τις υποχρεώσεις που καθορίζονται στο άρθρο 38, παράγραφος 3, πρώτη και τρίτη περίοδος, καθώς και παράγραφοι 5 και 6, του ίδιου κανονισμού ( 39 ), ή ακόμη όταν το επίπεδο εμπειρογνωμοσύνης του αποδεικνύεται ανεπαρκές ( 40 ).

52.

Ως εκ τούτου, κατά τη γνώμη μου, το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 έχει την έννοια ότι δεν αντιβαίνει σε αυτό εθνική νομοθεσία η οποία προβλέπει ότι ο εργοδότης υπεύθυνου προστασίας δεδομένων μπορεί να τον απολύσει μόνο για σπουδαίο λόγο, ακόμη και αν η απόλυση δεν συνδέεται με την άσκηση των καθηκόντων του εν λόγω υπεύθυνου προστασίας δεδομένων.

53.

Πάντως, εάν το Δικαστήριο δεν συμμερίζεται την ως άνω γνώμη και αποφασίσει να απαντήσει καταφατικώς στο πρώτο προδικαστικό ερώτημα του αιτούντος δικαστηρίου, θα πρέπει να δοθεί απάντηση και στα άλλα δύο προδικαστικά ερωτήματα.

Β.   Επί του δεύτερου προδικαστικού ερωτήματος

54.

Με το δεύτερο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί να διευκρινιστεί αν αντιβαίνει στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 εθνική νομοθεσία η οποία χαρακτηρίζει ως παράνομη την απόλυση του υπεύθυνου προστασίας δεδομένων από τον εργοδότη του ελλείψει σπουδαίου λόγου, ακόμη και αν η εν λόγω απόλυση δεν συνδέεται με την άσκηση των καθηκόντων του, σε περίπτωση που ο ορισμός του υπεύθυνου προστασίας δεδομένων δεν είναι υποχρεωτικός βάσει του άρθρου 37, παράγραφος 1, του εν λόγω κανονισμού, αλλά μόνο βάσει του εθνικού δικαίου, όπως προβλέπεται στο άρθρο 37, παράγραφος 4, του ίδιου κανονισμού.

55.

Παρατηρώ ότι ούτε το άρθρο 38, παράγραφος 3, του κανονισμού 2016/679 ούτε οι λοιπές διατάξεις του τμήματος 4 του εν λόγω κανονισμού, σχετικά με τον υπεύθυνο προστασίας δεδομένων, προβαίνουν σε διαφοροποίηση ανάλογα με το αν ο ορισμός του υπεύθυνου προστασίας δεδομένων είναι υποχρεωτικός ή προαιρετικός.

56.

Ως εκ τούτου, κατά τη γνώμη μου, στο αιτούν δικαστήριο πρέπει να δοθεί η απάντηση ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 εφαρμόζεται χωρίς διαφοροποίηση ανάλογα με το αν ο υπεύθυνος προστασίας δεδομένων ορίζεται υποχρεωτικώς βάσει του δικαίου της Ένωσης ή βάσει του εθνικού δικαίου.

Γ.   Επί του τρίτου προδικαστικού ερωτήματος

57.

Με το τρίτο προδικαστικό ερώτημα, το αιτούν δικαστήριο διερωτάται σχετικά με το κύρος του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 και, ειδικότερα, σχετικά με το αν η εν λόγω διάταξη θεμελιώνεται σε επαρκή εξουσιοδοτική βάση, ιδίως στο μέτρο που αφορά υπεύθυνους προστασίας δεδομένων οι οποίοι συνδέονται με τον υπεύθυνο επεξεργασίας με σχέση εργασίας.

58.

Προτείνω στο Δικαστήριο να αποφανθεί ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 θεμελιώνεται σε επαρκή εξουσιοδοτική βάση, καθόσον έχει ως αντικείμενο μόνο να προστατεύσει τον υπεύθυνο προστασίας δεδομένων από κάθε εμπόδιο κατά την άσκηση των καθηκόντων του, η δε σχετική εγγύηση, ανεξαρτήτως της ύπαρξης σχέσης εργασίας, συμβάλλει στην πραγματική επίτευξη των σκοπών του εν λόγω κανονισμού.

59.

Συγκεκριμένα, αφενός, όπως εξέθεσα στο πλαίσιο της ανάλυσης του πρώτου προδικαστικού ερωτήματος ( 41 ), το άρθρο 16 ΣΛΕΕ συνιστά τη νομική βάση επί της οποίας θεμελιώνεται ο εν λόγω κανονισμός. Επιπλέον, το Δικαστήριο έχει κρίνει ότι το εν λόγω άρθρο συνιστά, με την επιφύλαξη των διατάξεων του άρθρου 39 ΣΕΕ, προσήκουσα νομική βάση οσάκις η προστασία των δεδομένων προσωπικού χαρακτήρα αποτελεί έναν από τους σκοπούς ή από τα ουσιώδη συστατικά στοιχεία των κανόνων που θεσπίζει ο νομοθέτης της Ένωσης ( 42 ).

60.

Αφετέρου, μία από τις ως άνω προϋποθέσεις πληρούται, κατά τη γνώμη μου, στο ακέραιο όσον αφορά τον ρόλο του υπεύθυνου προστασίας δεδομένων και τη ρύθμισή του, όπως καθορίζονται στον κανονισμό 2016/679. Η εγγύηση λειτουργικής ανεξαρτησίας του υπεύθυνου προστασίας δεδομένων, η οποία σκοπεί την εκπλήρωση της απαίτησης να διασφαλίζεται υψηλό επίπεδο σεβασμού των θεμελιωδών δικαιωμάτων των προσώπων τα οποία αφορά η επεξεργασία των δεδομένων προσωπικού χαρακτήρα ( 43 ), μετουσιώθηκε, στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του εν λόγω κανονισμού, σε επιβολή απαγόρευσης παύσης του για λόγους που συνδέονται με τα καθήκοντά του. Δεδομένου ότι η εν λόγω διάταξη δεν επιβάλλει οποιαδήποτε εναρμόνιση στον τομέα του εργατικού δικαίου, ο νομοθέτης της Ένωσης δεν υπερέβη τις κανονιστικές εξουσίες που του απονέμονται στο άρθρο 16, παράγραφος 2, ΣΛΕΕ.

61.

Όσον αφορά την τήρηση των αρχών της επικουρικότητας και της αναλογικότητας, ως προς την οποία το αιτούν δικαστήριο έχει επίσης αμφιβολίες, επισημαίνω, πρώτον, ότι η εντατικοποίηση των διασυνοριακών πράξεων επεξεργασίας δεδομένων προσωπικού χαρακτήρα δικαιολογεί να υλοποιείται η προστασία τους, όσον αφορά τα θεμελιώδη δικαιώματα, στο επίπεδο της Ένωσης ( 44 ), διασφαλιζομένων ιδίως των προνομίων του υπεύθυνου προστασίας δεδομένων ο οποίος θεωρείται «καίρια συνιστώσα» της εν λόγω προστασίας ( 45 ). Δεύτερον, φρονώ ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 δεν βαίνει πέραν του αναγκαίου μέτρου για τη διασφάλιση της λειτουργικής ανεξαρτησίας του υπεύθυνου προστασίας δεδομένων. Είναι αληθές ότι η εγγύηση μη παύσης, η οποία προβλέπεται στην εν λόγω διάταξη, έχει κατ’ ανάγκην συνέπειες για τη σχέση εργασίας. Εντούτοις, οι συνέπειες αυτές αποσκοπούν μόνο στη διαφύλαξη της πρακτικής αποτελεσματικότητας του ρόλου του υπεύθυνου προστασίας δεδομένων.

62.

Ως εκ τούτου, κατά τη γνώμη μου, στο αιτούν δικαστήριο πρέπει να δοθεί η απάντηση ότι από την εξέταση του τρίτου προδικαστικού ερωτήματος δεν προέκυψε κανένα στοιχείο ικανό να επηρεάσει το κύρος του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679.

V. Πρόταση

63.

Λαμβανομένου υπόψη του συνόλου των προεκτεθέντων, προτείνω στο Δικαστήριο να απαντήσει στα προδικαστικά ερωτήματα που υπέβαλε το Bundesarbeitsgericht (Ομοσπονδιακό Δικαστήριο Εργατικών Διαφορών, Γερμανία) ως εξής:

Κύρια απάντηση:

Το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχει την έννοια ότι δεν αντιβαίνει σε αυτό εθνική νομοθεσία η οποία προβλέπει ότι ο εργοδότης υπεύθυνου προστασίας δεδομένων μπορεί να τον απολύσει μόνο για σπουδαίο λόγο, ακόμη και αν η απόλυση δεν συνδέεται με την άσκηση των καθηκόντων του εν λόγω υπεύθυνου προστασίας δεδομένων.

Επικουρικώς, για την περίπτωση που το Δικαστήριο απαντήσει καταφατικώς στο πρώτο προδικαστικό ερώτημα:

Το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 εφαρμόζεται χωρίς διαφοροποίηση ανάλογα με το αν ο υπεύθυνος προστασίας δεδομένων ορίζεται υποχρεωτικώς βάσει του δικαίου της Ένωσης ή βάσει του εθνικού δικαίου.

Από την εξέταση του τρίτου προδικαστικού ερωτήματος δεν προέκυψε κανένα στοιχείο ικανό να επηρεάσει το κύρος του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679.


( 1 ) Γλώσσα του πρωτοτύπου: η γαλλική.

( 2 ) ΕΕ 2016, L 119, σ. 1, όπως διορθώθηκε στην ΕΕ 2018, L 127, σ. 2, και στην ΕΕ 2021, L 74, σ. 35.

( 3 ) BGBl. 1990 Ι, σ. 2954.

( 4 ) BGBl. 2017 I, σ. 2097, στο εξής: BDSG.

( 5 ) Στο άρθρο 38, παράγραφος 1, πρώτο εδάφιο, του BDSG, όπως ισχύει από τις 26 Νοεμβρίου 2019, ο αριθμός των απασχολούμενων έχει αυξηθεί σε «20».

( 6 ) BGBl. 2002 I, σ. 42, διορθωτικό σ. 2909, και BGBl. 2003 Ι, σ. 738.

( 7 ) Το αιτούν δικαστήριο διευκρίνισε επιπλέον ότι, κατά τη νομολογία του, δεν συνιστά σπουδαίο λόγο παύσης του υπεύθυνου προστασίας δεδομένων το γεγονός ότι, λόγω οργανωτικής αλλαγής, η προστασία των δεδομένων εντός της επιχείρησης θα διασφαλίζεται στο μέλλον από εξωτερικό υπεύθυνο προστασίας δεδομένων [βλ. απόφαση του Bundesarbeitsgericht (Ομοσπονδιακού Δικαστηρίου Εργατικών Διαφορών) αριθ. 10 AZR 562/09, της 23ης Μαρτίου 2011, σημείο 18, που διατίθεται ηλεκτρονικά στη διαδικτυακή διεύθυνση https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/].

( 8 ) Άρθρο 37 του κανονισμού.

( 9 ) Άρθρο 38 του εν λόγω κανονισμού.

( 10 ) Άρθρο 39 του ίδιου κανονισμού.

( 11 ) Βλ., μεταξύ άλλων, απόφαση της 12ης Μαΐου 2021, Bundesrepublik Deutschland (Ερυθρά αγγελία της Interpol) (C‑505/19, EU:C:2021:376, σκέψη 77).

( 12 ) Η υπογράμμιση δική μου.

( 13 ) Συναφώς, στο έγγραφο με τίτλο «Κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων», οι οποίες κατευθυντήριες γραμμές εγκρίθηκαν στις 13 Δεκεμβρίου 2016 και αναθεωρήθηκαν στις 5 Απριλίου 2017, είναι δε διαθέσιμες στη διαδικτυακή διεύθυνση https://ec.europa.eu/newsroom/article29/items/612048/en, η ομάδα εργασίας για την προστασία των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η οποία συστάθηκε δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 13) (στο εξής: ομάδα εργασίας του άρθρου 29), διευκρίνισε ότι «[ο]ι κυρώσεις είναι δυνατό να έχουν διάφορες μορφές και να είναι άμεσες ή έμμεσες. Μπορεί, π.χ., ο υπεύθυνος προστασίας δεδομένων να μην πάρει ποτέ προαγωγή ή να την πάρει με μεγάλη καθυστέρηση, να υπονομευτεί η εξέλιξη της σταδιοδρομίας του ή να μην του χορηγούνται παροχές που λαμβάνουν άλλοι εργαζόμενοι. Δεν είναι ανάγκη οι εν λόγω κυρώσεις να επιβάλλονται πράγματι. Αρκεί απλώς η απειλή της επιβολής τους, εφόσον χρησιμοποιούνται προκειμένου να τιμωρηθεί ο υπεύθυνος προστασίας δεδομένων για λόγους που σχετίζονται με τις δραστηριότητες τις οποίες εκτελεί υπό τη συγκεκριμένη ιδιότητα» (σ. 21). Από της ενάρξεως ισχύος του κανονισμού 2016/679, η εν λόγω ομάδα εργασίας αντικαταστάθηκε από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (ΕΣΠΔ). Το ΕΣΠΔ εξέδωσε τις κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους επεξεργασίας δεδομένων κατά την πρώτη συνεδρίαση ολομέλειας, στις 25 Μαΐου 2018 (βλ. https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).

( 14 ) Όπως υπογραμμίζει η LH, πέραν του κειμένου του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού 2016/679 στη γερμανική γλώσσα («abberufen»), γλωσσικές αποδόσεις όπως οι αποδόσεις στην ισπανική («destituido»), στη γαλλική («relevé») ή στην πορτογαλική («destituído») γλώσσα καθιστούν σαφές ότι ο εν λόγω κανονισμός αφορά την παύση από τα καθήκοντα του υπεύθυνου προστασίας δεδομένων και όχι τον τερματισμό της «σχέσης εργασίας» («kündigen» στη γερμανική γλώσσα). Βλ., επίσης, αποδόσεις στην αγγλική («dismissed»), στην ιταλική («rimosso»), στην πολωνική («odwoływany») και στη ρουμανική («demis») γλώσσα.

( 15 ) Βλ. σημείωμα της Προεδρίας του Συμβουλίου της Ευρωπαϊκής Ένωσης της 3ης Οκτωβρίου 2014, σχετικά με πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των ατόμων έναντι της επεξεργασίας προσωπικών δεδομένων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων) [πρώτη ανάγνωση] – Κεφάλαιο IV, που διατίθεται ηλεκτρονικά στη διαδικτυακή διεύθυνση https://data.consilium.europa.eu/doc/document/ST‑13772-2014-INIT/el/pdf, σχετικά με την προσθήκη, στο άρθρο 36, παράγραφος 3, της εν λόγω πρότασης, της επισήμανσης ότι ο υπεύθυνος προστασίας δεδομένων δεν πρέπει να υποστεί δυσμενή μεταχείριση επειδή εκτέλεσε τα καθήκοντά του (σ. 34). Βλ., επίσης, θέση του Συμβουλίου σε πρώτη ανάγνωση με σκοπό την έκδοση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), της 6ης Απριλίου 2016, η οποία διατίθεται ηλεκτρονικά στη διαδικτυακή διεύθυνση: https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=EL, με την οποία εγκρίθηκε το ισχύον κείμενο του άρθρου 38 του κανονισμού 2016/679.

( 16 ) Η φράση «με ανεξάρτητο τρόπο» περιέχεται στην τελευταία περίοδο της αιτιολογικής σκέψης 97 του κανονισμού 2016/679.

( 17 ) ΕΕ 2018, L 295, σ. 39.

( 18 ) Βλ. άρθρο 37, παράγραφος 6, του κανονισμού 2016/679.

( 19 ) Βλ. θέση του Συμβουλίου σε πρώτη ανάγνωση με σκοπό την έκδοση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (Γενικός Κανονισμός για την Προστασία Δεδομένων) και την κατάργηση της οδηγίας 95/46/ΕΚ – Σχέδιο αιτιολογικής έκθεσης του Συμβουλίου, της 31ης Μαρτίου 2016, η οποία διατίθεται ηλεκτρονικά στη διαδικτυακή διεύθυνση https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=EL (σ. 22). Όσον αφορά τον σημαντικό ρόλο του υπεύθυνου προστασίας δεδομένων στο πλαίσιο της εφαρμογής του κανονισμού 2016/679, βλ. αιτιολογική σκέψη 97 του εν λόγω κανονισμού, καθώς και τα καθήκοντα του υπεύθυνου προστασίας δεδομένων που καθορίζονται στο άρθρο 39 του εν λόγω κανονισμού. Συναφώς, η ομάδα εργασίας του άρθρου 29 υπενθύμισε, με τις κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων, ότι, πριν από την έκδοση του κανονισμού 2016/679, ήταν της γνώμης ότι ο υπεύθυνος προστασίας δεδομένων συνιστά «ακρογωνιαίο λίθο της λογοδοσίας και ότι ο ορισμός του μπορεί να διευκολύνει τη συμμόρφωση» (σ. 5). Η ίδια ομάδα εργασίας επισήμανε ακόμη ότι ο εν λόγω κανονισμός αναγνωρίζει τον υπεύθυνο προστασίας δεδομένων «ως καίρια συνιστώσα του νέου συστήματος διακυβέρνησης δεδομένων» (σ. 6). Βλ., ενδεικτικώς για τις ανάγκες πληροφόρησης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία στις οποίες πρέπει να ανταποκρίνεται ο υπεύθυνος προστασίας δεδομένων, απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems (C‑311/18, EU:C:2020:559, σκέψη 134).

( 20 ) Βλ. άρθρο 38, παράγραφος 3, πρώτη και τρίτη περίοδος, του κανονισμού 2016/679.

( 21 ) Βλ. άρθρο 38, παράγραφος 5, του κανονισμού 2016/679.

( 22 ) Βλ. προοίμιο και αιτιολογική σκέψη 12 του κανονισμού 2016/679, καθώς και απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ. (C‑645/19, EU:C:2021:483, σκέψη 44).

( 23 ) Βλ. προτάσεις μου στην υπόθεση Facebook Ireland (C‑319/20, EU:C:2021:979, σημείο 51).

( 24 ) Στο πλαίσιο αυτό, φρονώ ότι δεν μπορεί να αντληθεί οποιοδήποτε επιχείρημα από τις διατάξεις του άρθρου 88, παράγραφος 1, του εν λόγω κανονισμού προκειμένου να θεωρηθεί ότι συνιστούν ρήτρα παρέκκλισης.

( 25 ) Βλ. προτάσεις μου στην υπόθεση Facebook Ireland (C‑319/20, EU:C:2021:979, σημείο 51).

( 26 ) Βλ. σημείο 31 των παρουσών προτάσεων.

( 27 ) Βλ. μεταξύ άλλων, όσον αφορά τον κανονισμό 2016/679, προτάσεις μου στην υπόθεση Facebook Ireland (C‑319/20, EU:C:2021:979, σημείο 52).

( 28 ) Βλ. προτάσεις μου στην υπόθεση Facebook Ireland (C‑319/20, EU:C:2021:979, σημείο 52). Επιπλέον, στο σημείο 55 των εν λόγω προτάσεων, επέστησα την προσοχή του Δικαστηρίου στο γεγονός ότι ο κανονισμός 2016/679 περιέχει πολλές ρήτρες παρέκκλισης με τις οποίες μεταβιβάζει ρητώς την κανονιστική αρμοδιότητα στα κράτη μέλη, με αποτέλεσμα να διαφοροποιείται από έναν συνήθη κανονισμό και να τείνει να ομοιάσει προς οδηγία.

( 29 ) Συναφώς, όπως υπογραμμίζει η E., Bielak-Jomaa, «Artykuł 38. Status inspektora ochrony danych», σε Bielak-Jomaa, E., και Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Βαρσοβία, 2018, σ. 794 έως 806, ιδίως σημείο 5, τέταρτη παράγραφος, η ομάδα εργασίας του άρθρου 29 δεν καθόρισε κανένα κριτήριο το οποίο θα ήταν χρήσιμο για την εξακρίβωση της ορθής ή μη εκτέλεσης των καθηκόντων του υπεύθυνου προστασίας δεδομένων. Ομοίως, ο O., Foret, «Le rôle du DPO», σε Bensamoun, A., και Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Παρίσι, 2020, σ. 233 έως 239, ιδίως σ. 235 και 236, επισημαίνει ότι «το ΕΣΠΔ διευκρινίζει στις κατευθυντήριες γραμμές του ότι […] “αν και το απαιτούμενο επίπεδο εμπειρογνωμοσύνης [για τον ορισμό του υπεύθυνου προστασίας δεδομένων] δεν καθορίζεται αυστηρά, σε κάθε περίπτωση πρέπει […] να είναι ανάλογο της ευαισθησίας, της πολυπλοκότητας και του όγκου των δεδομένων που επεξεργάζεται ο οργανισμός”» [βλ. κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων (σ. 15)]. Βλ., επίσης, σ. 16 των εν λόγω κατευθυντήριων γραμμών. Βλ., περαιτέρω, σημεία 50 και 51 των παρουσών προτάσεων.

( 30 ) Βλ. Bergt, M., «Art 38. Stellung des Datenschutzbeauftragten», σε Kühling, J., και Buchner, B., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3η έκδ., C.H. Beck, Μόναχο, 2020, ιδίως σημείο 29. Ο εν λόγω συγγραφέας υπογραμμίζει ότι, «[ε]ν αντιθέσει προς τα σχέδια της Επιτροπής και του Κοινοβουλίου, το άρθρο 38 δεν προβλέπει ελάχιστη χρονική διάρκεια της εντολής για την οποία ορίζεται ο υπεύθυνος προστασίας δεδομένων» (ελεύθερη μετάφραση).

( 31 ) Βλ. σημεία 31 και 32 των παρουσών προτάσεων. Επισημαίνεται ακόμη ότι ο νομοθέτης της Ένωσης προέβη σκοπίμως στην επιλογή αυτή, μη αποδεχόμενος την πρόταση της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής, στο πλαίσιο των νομοθετικών εργασιών σχετικά με τον κανονισμό 2016/679, η οποία είχε ως στόχο να διευκρινιστούν καλύτερα «οι συνθήκες άσκησης […] των καθηκόντων [του υπεύθυνου προστασίας δεδομένων] και, ιδιαίτερα, η προστασία από απόλυση, η οποία θα πρέπει να οριστεί σαφώς και να εκτείνεται πέραν της περιόδου κατοχής της συγκεκριμένης θέσης από τον ενδιαφερόμενο»: βλ. σημείο 4.11.1 της γνωμοδότησης της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής με θέμα «Πρόταση κανονισμού του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (γενικός κανονισμός για την προστασία δεδομένων)» (ΕΕ 2012, C 229, σ. 90).

( 32 ) Βλ., μεταξύ άλλων, πληροφορίες διαθέσιμες στις ακόλουθες διαδικτυακές διευθύνσεις https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= και https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.

( 33 ) Αυτό συμβαίνει όσον αφορά το Βασίλειο της Δανίας, την Ιρλανδία, τη Δημοκρατία της Κροατίας, την Ιταλική Δημοκρατία, την Κυπριακή Δημοκρατία, τη Δημοκρατία της Μάλτας, το Βασίλειο των Κάτω Χωρών, τη Δημοκρατία της Αυστρίας, τη Δημοκρατία της Πολωνίας, την Πορτογαλική Δημοκρατία, τη Ρουμανία και τη Δημοκρατία της Φινλανδίας. Στη Δημοκρατία της Κροατίας, στη Δημοκρατία της Μάλτας, στη Δημοκρατία της Πολωνίας, καθώς και στη Δημοκρατία της Βουλγαρίας, η ανάκληση ή η αλλαγή του υπεύθυνου προστασίας δεδομένων πρέπει να κοινοποιείται στην εθνική αρχή προστασίας δεδομένων προσωπικού χαρακτήρα. Σε ορισμένα κράτη μέλη, όπως στη Γαλλική Δημοκρατία και στο Μεγάλο Δουκάτο του Λουξεμβούργου, έχει διευκρινιστεί ότι ο υπεύθυνος προστασίας δεδομένων δεν διαθέτει καθεστώς προστατευόμενου υπαλλήλου το οποίο θα παρείχε εγγύηση συμπληρωματική της προβλεπόμενης από τον κανονισμό 2016/679.

( 34 ) Βλ., στο βελγικό δίκαιο, άρθρο 6, τρίτο εδάφιο, του arrêté royal, relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données, du 6 décembre 2015 (βασιλικού διατάγματος σχετικά με τους συμβούλους σε θέματα ασφάλειας και προστασίας της ιδιωτικής ζωής και την πλατφόρμα της ασφάλειας και της προστασίας των δεδομένων, της 6ης Δεκεμβρίου 2015) (Moniteur belge της 28ης Δεκεμβρίου 2015, σ. 79268), το οποίο είναι προγενέστερο της έναρξης ισχύος του κανονισμού 2016/679 και κατά το οποίο «[ο] εργοδότης ή η αρμόδια αρχή δύνανται να καταγγείλουν τη σύμβαση του συμβούλου, να θέσουν τέλος στη νόμιμη απασχόληση του συμβούλου ή να τον απομακρύνουν από τη θέση του μόνο για λόγους που δεν σχετίζονται με την ανεξαρτησία του ή για λόγους που καταδεικνύουν ότι δεν είναι ικανός να ασκήσει τα καθήκοντά του». Η υπογράμμιση δική μου. Βλ., επίσης, στο ισπανικό δίκαιο, άρθρο 36, παράγραφος 2, του Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (οργανικού νόμου 3/2018 περί προστασίας των δεδομένων προσωπικού χαρακτήρα και εγγύησης των ψηφιακών δικαιωμάτων), της 5ης Δεκεμβρίου 2018 (BOE αριθ. 294, της 6ης Δεκεμβρίου 2018, σ. 119788), κατά το οποίο, «[ό]ταν ο υπεύθυνος προστασίας δεδομένων είναι φυσικό πρόσωπο στον οργανισμό του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, δεν μπορεί ούτε να ανακληθεί ούτε να υποστεί κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία λόγω της άσκησης των καθηκόντων του, παρά μόνον εάν υποπέσει σε παράπτωμα από πρόθεση ή από βαρεία αμέλεια κατά την άσκηση των εν λόγω καθηκόντων». Η υπογράμμιση δική μου.

( 35 ) Βλ. κατευθυντήριες γραμμές σχετικά με τους υπεύθυνους προστασίας δεδομένων (σ. 21). Η υπογράμμιση δική μου.

( 36 ) Πρβλ. Fajgielski, P., «Artykuł 38. Status inspektora ochrony danych», Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Βαρσοβία, 2018, σ. 430 έως 437, ιδίως σημείο 5, πέμπτη παράγραφος. Βλ., επίσης, Kremer, S., «§ 6 Datenschutzbeauftragter», σε Laue, P., Nink, J., και Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, 2η έκδ., Nomos, Baden-Baden, 2019, ιδίως σημείο 36, και Bergt, M., «Art 38. Stellung des Datenschutzbeauftragten», όπ.π., ιδίως σημείο 30, καθώς και Bussche, A., «Art. 38 DSGVO», σε Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3η έκδ., Otto Schmidt, Κολωνία, 2018, ιδίως σημείο 19.

( 37 ) Βλ. υποσημείωση 7 των παρουσών προτάσεων.

( 38 ) Βλ. σημεία 31, 60 και 61 των παρουσών προτάσεων.

( 39 ) Βλ. σημείο 31 των παρουσών προτάσεων. Βλ., επίσης, υποθέσεις X-FAB Dresden (C‑453/21) και KISA (C‑560/21), εκκρεμείς επί του παρόντος, στις οποίες δύο διαφορετικά τμήματα του Bundesarbeitsgericht (Ομοσπονδιακού Δικαστηρίου Εργατικών Διαφορών) υπέβαλαν στο Δικαστήριο τα ίδια προδικαστικά ερωτήματα, πλην όμως στο πλαίσιο παύσης λόγω σύγκρουσης συμφερόντων. Στην πρώτη από τις εν λόγω υποθέσεις, ένα συμπληρωματικό προδικαστικό ερώτημα αφορά τα κριτήρια διαπίστωσης της ύπαρξης τέτοιας σύγκρουσης.

( 40 ) Πρβλ. Kremer, S., «§ 6 Datenschutzbeauftragter», όπ.π., ιδίως σημείο 35, καθώς και Bussche, A., «Art. 38 DSGVO», όπ.π., ιδίως σημείο 17.

( 41 ) Βλ. σημείο 34 των παρουσών προτάσεων.

( 42 ) Γνωμοδότηση 1/15 (Συμφωνία PNR ΕΕ‑Καναδά) της 26ης Ιουλίου 2017 (EU:C:2017:592, σκέψη 96).

( 43 ) Βλ. απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ. (C‑645/19, EU:C:2021:483, σκέψεις 44, 45 και 91).

( 44 ) Πρβλ. απόφαση της 15ης Ιουνίου 2021, Facebook Ireland κ.λπ. (C‑645/19, EU:C:2021:483, σκέψη 45 και, κατ’ αναλογίαν, σκέψη 47).

( 45 ) Βλ. υποσημείωση 19, τέταρτη περίοδος, των παρουσών προτάσεων.

Top