This document is an excerpt from the EUR-Lex website
Document 62020CJ0534
A Bíróság ítélete (első tanács), 2022. június 22.
Leistritz AG kontra LH.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 38. cikk (3) bekezdésének második mondata – Adatvédelmi tisztviselő – Az adatkezelőre vagy az adatfeldolgozóra vonatkozó azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa – Jogalap – EUMSZ 16. cikk – A funkcionális függetlenség követelménye – Az adatvédelmi tisztviselő alapos ok nélküli elbocsátását tiltó nemzeti szabályozás.
C-534/20. sz. ügy.
A Bíróság ítélete (első tanács), 2022. június 22.
Leistritz AG kontra LH.
Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 38. cikk (3) bekezdésének második mondata – Adatvédelmi tisztviselő – Az adatkezelőre vagy az adatfeldolgozóra vonatkozó azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa – Jogalap – EUMSZ 16. cikk – A funkcionális függetlenség követelménye – Az adatvédelmi tisztviselő alapos ok nélküli elbocsátását tiltó nemzeti szabályozás.
C-534/20. sz. ügy.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2022:495
C‑534/20. sz. ügy
Leistritz AG
kontra
LH
(a Bundesarbeitsgericht [Németország] által benyújtott előzetes döntéshozatal iránti kérelem)
A Bíróság ítélete (első tanács), 2022. június 22.
„Előzetes döntéshozatal – A természetes személyek védelme a személyes adatok kezelése vonatkozásában – (EU) 2016/679 rendelet – A 38. cikk (3) bekezdésének második mondata – Adatvédelmi tisztviselő – Az adatkezelőre vagy az adatfeldolgozóra vonatkozó azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa – Jogalap – EUMSZ 16. cikk – A funkcionális függetlenség követelménye – Az adatvédelmi tisztviselő alapos ok nélküli elbocsátását tiltó nemzeti szabályozás”
A természetes személyek védelme a személyes adatok kezelése vonatkozásában – 2016/679 rendelet – Adatvédelmi tisztviselő – Funkció – Az adatkezelőre vagy az adatfeldolgozóra vonatkozó azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa – Az adatvédelmi tisztviselő alapos ok nélküli elbocsátását tiltó nemzeti szabályozás – E tisztviselő feladatainak ellátásához nem kapcsolódó elbocsátás – Megengedhetőség – Feltétel – Az e rendeletben előírt célkitűzések tiszteletben tartása
(2016/679 európai parlamenti és tanácsi rendelet, 38. cikk, (3) bekezdés, második mondat)
(lásd: 21–36. pont és a rendelkező rész)
Összefoglalás
LH 2018. február 1‑je óta a Leistritz AG társaságban adatvédelmi tisztviselői feladatokat lát el. E társaság a német jogszabályok alapján köteles adatvédelmi tisztviselőt kijelölni. A Leistritz 2018 júliusában rendes felmondással megszüntette LH munkaviszonyát olyan szerkezetátalakítási intézkedésre hivatkozva, amelynek keretében kiszervezték az adatvédelmi osztályt.
Az LH felmondásának érvénytelenségére alapított keresetét elbíráló bíróságok úgy határoztak, hogy e felmondás érvénytelen volt. A német szövetségi szabályozás rendelkezéseinek megfelelően ugyanis LH‑nak adatvédelmi tisztviselőként kizárólag rendkívüli felmondással, alapos okból mondhatnak fel. Márpedig a Leistritz szerkezetátalakítása nem tekinthető ilyen oknak.
A Leistritz által a Bundesarbeitsgerichthez (szövetségi munkaügyi bíróság, Németország) benyújtott kereset nyomán e bíróság azt kérdezi, hogy az általános adatvédelmi rendelet ( 1 ) alapján megengedhető–e az olyan tagállami szabályozás, amely az adatvédelmi tisztviselő elbocsátását az uniós jognál szigorúbb követelményekhez köti.
Ítéletében a Bíróság megállapítja, hogy a GDPR 38. cikke (3) bekezdésének második mondatával ( 2 ) nem ellentétes az a nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy adatfeldolgozó a személyi állományába tartozó adatvédelmi tisztviselőnek kizárólag alapos okból mondhat fel. Ez az okfejtés akkor is alkalmazandó, ha a felmondás nem kapcsolódik e tisztviselő feladatainak ellátásához, feltéve hogy e szabályozás nem veszélyezteti a GDPR célkitűzéseinek megvalósítását.
A Bíróság álláspontja
Először, a Bíróság hangsúlyozza, hogy a GDPR 38. cikke (3) bekezdésének második mondata értelmében az adatkezelővel vagy az adatfeldolgozóval szemben előírt azon tilalom, hogy az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben elbocsássa vagy szankcióval sújtsa, azt jelenti, hogy e tisztviselőt minden olyan döntéssel szemben védelemben kell részesíteni, amellyel elbocsátanák, hátrányos helyzetbe hoznák, vagy amely szanckiót jelent. Így ilyen döntésnek minősülhet az adatvédelmi tisztviselő munkáltató általi elbocsátása, amely megszünteti az e tisztviselő és e munkáltató között a munkaviszonyt. E munkaviszonyt illetően a Bíróság pontosítja, hogy a GDPR 38. cikke (3) bekezdésének második mondata alkalmazandó mind arra az adatvédelmi tisztviselőre, aki az adatkezelő vagy az adatfeldolgozó személyi állományának a tagja, mind arra, aki feladatait az adatkezelővel vagy adatfeldolgozóval kötött szolgáltatási szerződés keretében látja el. E rendelkezés tehát az adatvédelmi tisztviselő és az adatkezelő vagy adatfeldolgozó közötti jogviszonyra alkalmazandó, függetlenül az e tisztviselő és az adatkezelő vagy adatfeldolgozó közötti munkaviszony jellegétől. Ezenkívül ugyanezen rendelkezés olyan korlátot határoz meg, amely abban áll, hogy a feladatai ellátásával kapcsolatos indok alapján tilos az adatvédelmi tisztviselő elbocsátása. ( 3 )
Másodszor, ami a GDPR 38. cikke (3) bekezdésének második mondata által követett célkitűzést illeti, e rendelet ( 4 ) kimondja, hogy az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak‑e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása, a GDPR célkitűzésének megfelelően ( 5 ). Tehát az adatvédelmi tisztviselő funkcionális függetlenségének biztosítására irányuló célkitűzés ( 6 ) értelmében e tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől nem fogadhat el, és közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel, e tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti. Ennélfogva a GDPR 38. cikke (3) bekezdésének második mondata az adatvédelmi biztos függetlenségének megőrzésére irányul, mivel e rendelkezés megvédi az adatvédelmi tisztviselőt minden olyan döntéssel szemben, amellyel elbocsátanák vagy hátrányos helyzetbe hoznák, vagy amely szankciót jelent. Mindazonáltal e rendelkezésnek nem célja, hogy átfogóan szabályozza az adatkezelő vagy az adatfeldolgozó és a személyi állományának tagjai közötti munkaviszonyt.
Harmadszor és utolsósorban, ami azt az összefüggést illeti, amelybe a GDPR 38. cikke (3) bekezdésének második mondata illeszkedik, a Bíróság pontosítja, hogy az adatvédelmi tisztviselőnek e rendelkezésben előírt különleges védelmén kívül az adatkezelő vagy adatfeldolgozó által alkalmazott adatvédelmi tisztviselő elbocsátásával szembeni védelem nem a GDPR ( 7 ) alapján elfogadott szabályok közé, hanem a szociálpolitika területére tartozik. Márpedig az Unió és a tagállamok megosztott hatáskörrel ( 8 ) rendelkeznek e területen. A munkavállalók munkaviszonyuk megszüntetése esetén történő védelme területén az Unió támogatja és kiegészíti a tagállamok tevékenységeit, e tekintetben minimális követelmények elfogadása útján. Következésképpen a hatásköre gyakorlása során minden tagállam szabadon határozhat meg nagyobb védelmet biztosító külön rendelkezéseket az adatvédelmi tisztviselő elbocsátására vonatkozóan, feltéve hogy e rendelkezések összeegyeztethetők a GDPR rendelkezéseivel. Különösen az ilyen fokozott védelem nem veszélyeztetheti a GDPR célkitűzéseinek megvalósítását. Márpedig ez lenne a helyzet, ha e fokozott védelem megakadályozná, hogy az adatkezelő vagy adatfeldolgozó elbocsáthassa az olyan adatvédelmi tisztviselőt, aki már nem rendelkezik a feladatai ellátásához megkövetelt szakmai rátermettséggel, vagy aki azokat nem a GDPR rendelkezéseinek megfelelően látja el.
( 1 ) Lásd többek között a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o.; HL 2018. L 127., 2. o.; HL 2021. L 74., 35. o.; a továbbiakban: GDPR) 38. cikke (3) bekezdésének második mondatát.
( 2 ) A GDPR 38. cikke (3) bekezdésének második mondata értelmében az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja.
( 3 ) A GDPR 39. cikke (1) bekezdésének b) pontja értelmében e feladatok közé tartozik különösen az uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelés ellenőrzése.
( 4 ) És különösen a GDPR (97) preambulumbekezdése.
( 5 ) A GDPR, amint az a (10) preambulumbekezdéséből kitűnik, többek között arra irányul, hogy biztosítsa a természetes személyek magas szintű védelmét az Unión belül.
( 6 ) Amint az a GDPR 38. cikke (3) bekezdésének első, második és harmadik mondatából, valamint 38. cikkének (5) bekezdéséből következik.
( 7 ) A GDPR jogalapja, az EUMSZ 16. cikk (2) bekezdése, lehetővé teszi a természetes személyeknek a személyes adataik feldolgozása tekintetében történő védelmére, valamint az ilyen adatok szabad áramlására vonatkozó szabályok elfogadását.
( 8 ) Az EUMSZ 4. cikk (2) bekezdésének b) pontja értelmében.