Byla C‑534/20

Leistritz AG

prieš

LH

(Bundesarbeitsgericht prašymas priimti prejudicinį sprendimą)

2022 m. birželio 22 d. Teisingumo Teismo (pirmoji kolegija) sprendimas

„Prašymas priimti prejudicinį sprendimą – Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas (ES) 2016/679 – 38 straipsnio 3 dalies antras sakinys – Duomenų apsaugos pareigūnas – Draudimas duomenų valdytojui ar duomenų tvarkytojui atleisti duomenų apsaugos pareigūną arba jį bausti dėl jam nustatytų užduočių atlikimo – Teisinis pagrindas – SESV 16 straipsnis – Veiklos nepriklausomumo reikalavimas – Nacionalinės teisės nuostatos, pagal kurias draudžiama atleisti duomenų apsaugos pareigūną nesant svarbios priežasties“

Fizinių asmenų apsauga tvarkant asmens duomenis – Reglamentas 2016/679 – Duomenų apsaugos pareigūnas – Pareigos – Draudimas duomenų valdytojui ar duomenų tvarkytojui atleisti duomenų apsaugos pareigūną arba jį bausti dėl jam nustatytų užduočių atlikimo – Nacionalinės teisės nuostatos, pagal kurias draudžiama atleisti duomenų apsaugos pareigūną nesant svarbios priežasties – Su šio pareigūno užduočių atlikimu nesusijęs atleidimas – Leistinumas – Sąlyga – Šiame reglamente numatytų tikslų paisymas

(Europos Parlamento ir Tarybos reglamento 2016/679 38 straipsnio 3 dalies antras sakinys)

(žr. 21–36 punktus ir rezoliucinę dalį)

Santrauka

Nuo 2018 m. vasario 1 d. LH buvo bendrovės Leistritz AG duomenų apsaugos pareigūnė. Pagal Vokietijos teisės aktus ši bendrovė privalo paskirti duomenų apsaugos pareigūną. 2018 m. liepos mėn. Leistritz, iš anksto įspėjusi, atleido LH, kaip pagrindą nurodžiusi veiklos restruktūrizavimą, kurį vykdant duomenų apsaugos veikla buvo perkelta į išorę.

Bylą iš esmės nagrinėjęs teismas, kuriame LH ginčijo atleidimo iš darbo teisėtumą, nusprendė, kad šis atleidimas neteisėtas. Pagal Vokietijos federalinių teisės aktų nuostatas LH, kaip duomenų apsaugos pareigūnė, galėjo būti atleista be įspėjimo tik dėl svarbios priežasties. Tačiau bendrovės Leistritz veiklos restruktūrizavimas nėra tokia priežastis.

Leistritz pateikus skundą Bundesarbeitsgericht (Federalinis darbo teismas, Vokietija), šis suabejojo, ar pagal Bendrąjį duomenų apsaugos reglamentą ( 1 ) leidžiami valstybės narės teisės aktai, pagal kuriuos asmens duomenų apsaugos pareigūno atleidimui iš darbo taikomos griežtesnės sąlygos nei numatytosios Sąjungos teisėje.

Savo sprendime Teisingumo Teismas nusprendė, kad pagal BDAR 38 straipsnio 3 dalies antrą sakinį ( 2 ) nedraudžiamos nacionalinės teisės nuostatos, pagal kurias duomenų valdytojas arba duomenų tvarkytojas gali atleisti duomenų apsaugos pareigūną, kuris yra jo personalo narys, tik dėl svarbios priežasties. Ši išvada taikytina, net jei atleidimas nėra susijęs su šio pareigūno užduočių atlikimu, jeigu tokios nuostatos netrukdo siekti BDAR tikslų.

Teisingumo Teismo vertinimas

Pirmiausia Teisingumo Teismas pabrėžė, kad pagal BDAR 38 straipsnio 3 dalies antrą sakinį duomenų valdytojui arba duomenų tvarkytojui nustatytas draudimas atleisti duomenų apsaugos pareigūną arba jį bausti reiškia, kad šis pareigūnas turi būti apsaugotas nuo bet kokio sprendimo, kuriuo būtų nutraukti darbo santykiai su juo, dėl kurio jis atsidurtų nepalankioje padėtyje arba kuris reikštų nuobaudą. Tokiam sprendimui galima prilyginti duomenų apsaugos pareigūno atleidimą, kurį taiko jo darbdavys ir kuriuo nutraukiami darbo santykiai tarp šio pareigūno ir šio darbdavio. Dėl šių darbo santykių Teisingumo Teismas patikslino, kad BDAR 38 straipsnio 3 dalies antras sakinys vienodai taikomas ir kai duomenų apsaugos pareigūnas yra duomenų valdytojo arba duomenų tvarkytojo personalo narys, ir kai jis atlieka savo užduotis pagal paslaugų teikimo sutartį. Taigi ši nuostata taikoma duomenų apsaugos pareigūno ir duomenų valdytojo ar duomenų tvarkytojo santykiams, neatsižvelgiant į pareigūną su šiais asmenimis siejančių darbo santykių pobūdį. Be to, toje pačioje nuostatoje įtvirtintas apribojimas, pagal kurį duomenų apsaugos pareigūną draudžiama atleisti su jam nustatytų užduočių atlikimu susijusiu pagrindu ( 3 ).

Antra, kiek tai susiję su BDAR 38 straipsnio 3 dalies antru sakiniu siekiamu tikslu, šiame reglamente ( 4 ) nurodyta, jog duomenų apsaugos pareigūnai, nesvarbu, ar jie yra duomenų valdytojo darbuotojai, savo pareigas ir užduotis turėtų galėti atlikti nepriklausomai, laikantis BDAR tikslo ( 5 ). Pavyzdžiui, tikslas užtikrinti duomenų apsaugos pareigūno veiklos nepriklausomumą ( 6 ) reikalauja, kad duomenų apsaugos pareigūnas negautų jokių nurodymų dėl jo užduočių vykdymo ir tiesiogiai atsiskaitytų duomenų valdytojo arba duomenų tvarkytojo aukščiausio lygio vadovybei, taip pat užtikrintų profesinį slaptumą arba konfidencialumą. Taigi BDAR 38 straipsnio 3 dalies antru sakiniu siekiama išlaikyti duomenų apsaugos pareigūno veiklos nepriklausomumą, nes šia nuostata duomenų apsaugos pareigūnas saugomas nuo bet kokio su jo užduočių atlikimų susijusio sprendimo, kuriuo būtų nutraukti darbo santykiai su juo, dėl kurio jis atsidurtų nepalankioje padėtyje arba kuris reikštų nuobaudą. Tačiau šia nuostata nesiekiama bendrai reglamentuoti duomenų valdytojo arba duomenų tvarkytojo ir jo personalo narių darbo santykių.

Galiausiai, trečia, kiek tai susiję su BDAR 38 straipsnio 3 dalies antro sakinio kontekstu, Teisingumo Teismas patikslino, kad, išskyrus šioje nuostatoje numatytą specialią duomenų apsaugos pareigūno apsaugą, taisyklės, reglamentuojančios duomenų valdytojo arba duomenų tvarkytojo įdarbinto duomenų apsaugos pareigūno apsaugą nuo atleidimo iš darbo, negali būti nustatytos remiantis BDAR ( 7 ), bet priskirtinos prie socialinės politikos srities. Sąjunga ir valstybės narės šioje srityje turi pasidalijamąją kompetenciją ( 8 ). Sąjunga remia ir papildo valstybių narių veiklą darbuotojų apsaugos nutraukus darbo sutartį srityje, nustatydama būtiniausius reikalavimus šiuo klausimu. Taigi kiekviena valstybė narė, įgyvendindama savo kompetenciją, gali laisvai numatyti konkrečias nuostatas, labiau saugančias duomenų apsaugos pareigūną nuo atleidimo iš darbo, jeigu šios nuostatos suderinamos BDAR nuostatomis. Konkrečiai kalbant, tokia didesnė apsauga negali trukdyti siekti BDAR tikslų. Taip būtų tuo atveju, jeigu dėl jos duomenų valdytojas arba duomenų tvarkytojas apskritai negalėtų atleisti duomenų apsaugos pareigūno, kuris nebeatitinka profesinių reikalavimų, taikomų jo užduotims atlikti, arba neatlieka šių užduočių taip, kaip to reikalaujama pagal BDAR nuostatas.

( 1 ) Žr. būtent 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1, toliau – BDAR) 38 straipsnio 3 dalies 2 sakinį.

( 2 ) Pagal BDAR 38 straipsnio 3 dalies antrą sakinį duomenų valdytojas arba duomenų tvarkytojas negali atleisti duomenų apsaugos pareigūno arba jo bausti dėl jam nustatytų užduočių atlikimo.

( 3 ) Pagal BDAR 39 straipsnio 1 dalies b punktą šios užduotys, be kita ko, apima stebėjimą, kaip laikomasi Sąjungos arba nacionalinių duomenų apsaugos nuostatų ir duomenų valdytojo arba duomenų tvarkytojo vidaus taisyklių asmens duomenų apsaugos srityje.

( 4 ) Būtent BDAR 97 konstatuojamojoje dalyje.

( 5 ) BDAR, kaip matyti iš jo 10 konstatuojamosios dalies, siekiama, be kita ko, užtikrinti aukštą fizinių asmenų apsaugos lygį Sąjungoje.

( 6 ) Kaip matyti iš BDAR 38 straipsnio 3 dalies pirmo, antro ir trečio sakinių, taip pat iš 38 straipsnio 5 dalies.

( 7 ) SESV 16 straipsnio 2 dalyje, kuri yra BDAR teisinis pagrindas, leidžiama nustatyti fizinių asmenų apsaugos tvarkant asmens duomenis taisykles ir laisvo tokių duomenų judėjimo taisykles.

( 8 ) Remiantis SESV 4 straipsnio 2 dalies b punktu.