Υπόθεση C‑534/20

Leistritz AG

κατά

LH

(αίτηση του Bundesarbeitsgericht για την έκδοση προδικαστικής αποφάσεως)

Απόφαση του Δικαστηρίου (πρώτο τμήμα) της 22ας Ιουνίου 2022

«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 38, παράγραφος 3, δεύτερη περίοδος – Υπεύθυνος προστασίας δεδομένων – Απαγόρευση προς τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απολύσει τον υπεύθυνο προστασίας δεδομένων ή να του επιβάλει κυρώσεις επειδή επιτέλεσε τα καθήκοντά του – Νομική βάση – Άρθρο 16 ΣΛΕΕ – Απαίτηση λειτουργικής ανεξαρτησίας – Εθνική νομοθεσία που απαγορεύει την απόλυση υπεύθυνου προστασίας δεδομένων χωρίς σπουδαίο λόγο»

Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός 2016/679 – Υπεύθυνος προστασίας δεδομένων – Θέση – Απαγόρευση προς τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απολύσει τον υπεύθυνο προστασίας δεδομένων ή να του επιβάλουν κυρώσεις επειδή επιτέλεσε τα καθήκοντά του – Εθνική νομοθεσία που απαγορεύει την απόλυση υπεύθυνου προστασίας δεδομένων χωρίς σπουδαίο λόγο – Απόλυση που δεν συνδέεται με την άσκηση των καθηκόντων του υπεύθυνου προστασίας δεδομένων – Επιτρέπεται – Προϋπόθεση – Διαφύλαξη των στόχων του κανονισμού

(Κανονισμός 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, άρθρο 38 § 3, δεύτερη περίοδος)

(βλ. σκέψεις 21-36 και διατακτ.)

Σύνοψη

Η LH εργάστηκε από την 1η Φεβρουαρίου 2018 στην εταιρία Leistritz AG ως υπεύθυνη προστασίας δεδομένων. Η εταιρία αυτή υποχρεούται, βάσει της γερμανικής νομοθεσίας, να ορίσει υπεύθυνο προστασίας δεδομένων. Τον Ιούλιο του 2018 η Leistritz προέβη σε τακτική καταγγελία της σχέσης εργασίας με την LH, επικαλούμενη μέτρο αναδιάρθρωσης των δραστηριοτήτων της δυνάμει του οποίου η υπηρεσία προστασίας των δεδομένων ανατίθετο σε εξωτερικό πάροχο υπηρεσιών.

Τα δικαστήρια της ουσίας ενώπιον των οποίων προσέφυγε η LH αμφισβητώντας το κύρος της απόλυσής της έκριναν ότι η απόλυση ήταν άκυρη. Ειδικότερα, βάσει των διατάξεων της γερμανικής ομοσπονδιακής νομοθεσίας, η LH, ως υπεύθυνη προστασίας δεδομένων, μπορούσε να απολυθεί μόνο με έκτακτη καταγγελία για σπουδαίο λόγο. Η δε αναδιάρθρωση των δραστηριοτήτων της Leistritz δεν συνιστά σπουδαίο λόγο.

Κατόπιν της αναιρέσεως που άσκησε η Leistritz ενώπιον του Bundesarbeitsgericht (Ομοσπονδιακού Δικαστηρίου Εργατικών Διαφορών, Γερμανία), το εν λόγω δικαστήριο διερωτάται κατά πόσον ο Γενικός Κανονισμός για την Προστασία Δεδομένων ( 1 ) δεν αντιτίθενται σε ρύθμιση κράτους μέλους κατά την οποία η απόλυση του υπεύθυνου προστασίας δεδομένων υπόκειται σε αυστηρότερες προϋποθέσεις από εκείνες τις οποίες προβλέπει το δίκαιο της Ένωσης.

Με την απόφασή του, το Δικαστήριο κρίνει ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ ( 2 ) δεν αντιτίθεται σε εθνική νομοθεσία κατά την οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να απολύσει τον υπεύθυνο προστασίας δεδομένων ο οποίος είναι μέλος του προσωπικού του μόνο για σπουδαίο λόγο. Το σκεπτικό αυτό έχει εφαρμογή ακόμη και αν η απόλυση δεν συνδέεται με την άσκηση των καθηκόντων του υπεύθυνου προστασίας δεδομένων, υπό την προϋπόθεση ότι μια τέτοια νομοθεσία δεν υπονομεύει την επίτευξη των στόχων του ΓΚΠΔ.

Η εκτίμηση του Δικαστηρίου

Πρώτον, το Δικαστήριο υπογραμμίζει ότι, με βάση τη διατύπωση του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, η απαγόρευση προς τον υπεύθυνο επεξεργασίας ή προς τον εκτελούντα την επεξεργασία να απολύσει τον υπεύθυνο προστασίας δεδομένων ή να του επιβάλει κυρώσεις σημαίνει ότι ο υπεύθυνος προστασίας δεδομένων πρέπει να προστατεύεται από κάθε απόφαση με την οποία παύεται ή περιέρχεται σε μειονεκτική θέση ή η οποία στοιχειοθετεί κύρωση. Το δε μέτρο απόλυσης του υπεύθυνου προστασίας δεδομένων το οποίο λαμβάνει ο εργοδότης του και το οποίο θέτει τέλος στη σχέση εργασίας που υφίσταται μεταξύ του ιδίου και του εργοδότη μπορεί να αποτελέσει τέτοια απόφαση. Όσον αφορά την εν λόγω σχέση εργασίας, το Δικαστήριο διευκρινίζει ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ ισχύει τόσο για τον υπεύθυνο προστασίας δεδομένων ο οποίος είναι μέλος του προσωπικού του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία όσο και για τον υπεύθυνο προστασίας δεδομένων που ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών που έχει συνάψει με τον εν λόγω υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία. Επομένως, η διάταξη αυτή έχει εφαρμογή στις σχέσεις μεταξύ του υπεύθυνου προστασίας δεδομένων και του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία ανεξάρτητα από τη φύση της σχέσης βάσει της οποίας ο πρώτος παρέχει την εργασία του στους δεύτερους. Εξάλλου, η ίδια διάταξη θέτει ένα όριο το οποίο συνίσταται στην απαγόρευση της απόλυσης του υπεύθυνου προστασίας δεδομένων για λόγο που αντλείται από την άσκηση των καθηκόντων του ( 3 ).

Όσον αφορά, δεύτερον, τον σκοπό που επιδιώκει το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, ο κανονισμός αυτός ( 4 ) ορίζει ότι οι υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπεύθυνου επεξεργασίας, θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους κατά τρόπο ανεξάρτητο, σύμφωνα με τον σκοπό του ΓΚΠΔ ( 5 ). Ειδικότερα, ο σκοπός διασφάλισης της λειτουργικής ανεξαρτησίας του υπεύθυνου προστασίας δεδομένων ( 6 ) επιβάλλει να μη λαμβάνει ο υπεύθυνος προστασίας δεδομένων εντολές για την άσκηση των καθηκόντων του, να λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία και να δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας. Επομένως, το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ αποσκοπεί στη διαφύλαξη της ανεξαρτησίας του υπεύθυνου προστασίας δεδομένων, στο μέτρο που η διάταξη αυτή τον προστατεύει από οποιαδήποτε απόφαση σχετική με τα καθήκοντά του με την οποία παύεται ή περιέρχεται σε μειονεκτική θέση ή η οποία στοιχειοθετεί κύρωση. Εντούτοις, η διάταξη αυτή δεν έχει ως σκοπό να ρυθμίσει συνολικά τις εργασιακές σχέσεις μεταξύ υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία και μελών του προσωπικού του.

Όσον αφορά, τρίτο και τελευταίο, το πλαίσιο στο οποίο εντάσσεται το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, το Δικαστήριο διευκρινίζει ότι, εκτός του πλαισίου της ειδικής προστασίας του υπεύθυνου προστασίας δεδομένων την οποία προβλέπει η διάταξη αυτή, η προστασία από την απόλυση ενός υπεύθυνου προστασίας δεδομένων που απασχολείται από τον υπεύθυνο επεξεργασίας ή από τον εκτελούντα την επεξεργασία δεν ανάγεται σε κανόνες που μπορούν να θεσπιστούν βάσει του ΓΚΠΔ ( 7 ), αλλά στον τομέα της κοινωνικής πολιτικής. Στον δε τομέα αυτόν η Ένωση έχει συντρέχουσα αρμοδιότητα με τα κράτη μέλη ( 8 ). Ειδικότερα, η Ένωση υποστηρίζει και συμπληρώνει τη δράση των κρατών μελών στον τομέα της προστασίας των εργαζομένων σε περίπτωση καταγγελίας της σύμβασης εργασίας, θεσπίζοντας ελάχιστες προδιαγραφές στον εν λόγω τομέα. Επομένως, κάθε κράτος μέλος μπορεί να προβλέπει ελεύθερα, στο πλαίσιο της άσκησης της αρμοδιότητάς του, ειδικές διατάξεις που να παρέχουν μεγαλύτερη προστασία από την απόλυση του υπεύθυνου προστασίας δεδομένων, υπό την προϋπόθεση ότι οι διατάξεις αυτές συμβιβάζονται με τις διατάξεις του ΓΚΠΔ. Ειδικότερα, μια τέτοια αυξημένη προστασία δεν μπορεί να υπονομεύσει την επίτευξη των στόχων του ΓΚΠΔ. Τούτο όμως θα συνέβαινε αν η εν λόγω προστασία εμπόδιζε πλήρως την απόλυση, εκ μέρους υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία, ενός υπεύθυνου προστασίας δεδομένων ο οποίος δεν διαθέτει πλέον τις επαγγελματικές ικανότητες που απαιτούνται για την άσκηση των καθηκόντων του ή ο οποίος δεν εκπληρώνει τα καθήκοντα αυτά σύμφωνα με τις διατάξεις του ΓΚΠΔ.

( 1 ) Βλ. ιδίως άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1) (στο εξής: ΓΚΠΔ).

( 2 ) Δυνάμει του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, ο υπεύθυνος προστασίας δεδομένων δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του.

( 3 ) Δυνάμει του άρθρου 39, παράγραφος 1, στοιχείο βʹ, του ΓΚΠΔ, τα καθήκοντα αυτά περιλαμβάνουν, ιδίως, την παρακολούθηση της συμμόρφωσης με τις διατάξεις της Ένωσης ή του κράτους μέλους σε σχέση με την προστασία των δεδομένων καθώς και με τις πολιτικές του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα.

( 4 ) Ιδίως η αιτιολογική σκέψη 97 του ΓΚΠΔ.

( 5 ) Ο ΓΚΠΔ, όπως προκύπτει από την αιτιολογική σκέψη του 10, αποσκοπεί μεταξύ άλλων στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων εντός της Ένωσης.

( 6 ) Όπως προκύπτει από το άρθρο 38, παράγραφος 3, πρώτη, δεύτερη και τρίτη περίοδος, και παράγραφος 5, του ΓΚΠΔ.

( 7 ) Το άρθρο 16, παράγραφος 2, ΣΛΕΕ, νομική βάση του ΓΚΠΔ, επιτρέπει τη θέσπιση κανόνων σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών.

( 8 ) Δυνάμει του άρθρου 4, παράγραφος 2, στοιχείο βʹ, ΣΛΕΕ.