EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62020CC0534

Opinia rzecznika generalnego J. Richarda de la Toura przedstawiona w dniu 27 stycznia 2022 r.



Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:62

  The document is unavailable in your User interface language.

 OPINIA RZECZNIKA GENERALNEGO

JEANA RICHARDA DE LA TOURA

przedstawiona w dniu 27 stycznia 2022 r. ( 1 )

Sprawa C‑534/20

Leistritz AG

przeciwko

LH

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesarbeitsgericht (federalny sąd pracy, Niemcy)]

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 38 ust. 3 zdanie drugie – Inspektor ochrony danych – Zakaz odwołania za wypełnianie zadań – Podstawa prawna – Artykuł 16 TFUE – Ważność – Wymóg niezależności w wykonywaniu obowiązków – Zakres harmonizacji – Przepisy krajowe zakazujące zwolnienia inspektora ochrony danych w braku ważnej przyczyny – Inspektor ochrony danych wyznaczony obligatoryjnie na mocy prawa krajowego

I. Wprowadzenie

1.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesarbeitsgericht (federalny sąd pracy, Niemcy) dotyczy wykładni art. 38 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) ( 2 ).

2.

Wniosek ten został złożony w ramach sporu pomiędzy LH a jej pracodawcą, Leistritz AG, dotyczącego rozwiązania jej umowy o pracę, uzasadnionego reorganizacją zakładu, podczas gdy zgodnie z właściwym prawem niemieckim LH, ze względu na wyznaczenie jej na inspektora ochrony danych, może zostać zwolniona jedynie w drodze wypowiedzenia z ważnej przyczyny bez zachowania terminu wypowiedzenia.

3.

W niniejszej opinii przedstawię powody, dla których uważam, że przewidziany w art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 zakaz odwołania inspektora ochrony danych nie wynika z harmonizacji przepisów materialnych prawa pracy, co pozostawia państwom członkowskim możliwość wzmocnienia ochrony tego inspektora w ich uregulowaniach krajowych w różnych dziedzinach, zgodnie z celem realizowanym przez to rozporządzenie.

II. Ramy prawne

A.   Rozporządzenie 2016/679

4.

Motywy 10, 13 i 97 rozporządzenia 2016/679 stanowią:

„(10)

Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. […]

[…]

(13)

Aby zapewnić spójny stopień ochrony osób fizycznych w Unii oraz zapobiegać rozbieżnościom hamującym swobodny przepływ danych osobowych na rynku wewnętrznym, należy przyjąć rozporządzenie, które zagwarantuje podmiotom gospodarczym – w tym mikroprzedsiębiorstwom oraz małym i średnim przedsiębiorstwom – pewność prawa i przejrzystość, a osobom fizycznym we wszystkich państwach członkowskich ten sam poziom prawnie egzekwowalnych praw oraz obowiązków i zadań administratorów i podmiotów przetwarzających, które pozwoli spójnie monitorować przetwarzanie danych osobowych, a także które zapewni równoważne kary we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych z różnych państw członkowskich. […]

[…]

(97)

[…] [I]nspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.

5.

Artykuł 1 tego rozporządzenia, zatytułowany „Przedmiot i cele”, stanowi w ust. 1:

„W niniejszym rozporządzeniu ustanowione zostają przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych”.

6.

Artykuł 37 wspomnianego rozporządzenia, noszący tytuł „Wyznaczenie inspektora ochrony danych”, stanowi w ust. 1 i 4–6:

„1.   Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a)

przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b)

główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c)

główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 […], oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

[…]

4.   W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające.

5.   Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

6.   Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług”.

7.

Artykuł 38 tego samego rozporządzenia, pod tytułem „Status inspektora ochrony danych”, przewiduje:

„1.   Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

[…]

3.   Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

4.   Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

5.   Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

6.   Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.

8.

Artykuł 39 rozporządzenia 2016/679 określa główne zadania inspektora ochrony danych.

B.   Prawo niemieckie

9.

Paragraf 6 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych) ( 3 ) z dnia 20 grudnia 1990 r., w brzmieniu obowiązującym od dnia 25 maja 2018 r. do dnia 25 listopada 2019 r. ( 4 ), zatytułowany „Status”, stanowi w ust. 4:

„Odwołanie inspektora ochrony danych jest dozwolone tylko w odpowiednim zastosowaniu § 626 Bürgerliches Gesetzbuch [kodeksu cywilnego]. Wypowiedzenie stosunku pracy jest niedozwolone, chyba że zachodzą okoliczności faktyczne uprawniające podmiot publiczny do wypowiedzenia go z ważnej przyczyny bez zachowania terminu wypowiedzenia. Po zakończeniu działalności w charakterze inspektora ochrony danych wypowiedzenie stosunku pracy jest niedozwolone przez rok, chyba że podmiot publiczny jest uprawniony do wypowiedzenia go z ważnej przyczyny bez zachowania terminu wypowiedzenia”.

10.

Paragraf 38 BDSG, zatytułowany „Inspektor ochrony danych podmiotów niepublicznych”, przewiduje:

„1.   W uzupełnieniu art. 37 ust. 1 lit. b) i c) rozporządzenia […] 2016/679 administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, jeżeli z reguły zatrudniają co najmniej dziesięć osób [ ( 5 )] zajmujących się na stałe automatycznym przetwarzaniem danych […].

2.   Paragraf 6 ust. 4, § 6 ust. 5 zdanie drugie oraz § 6 ust. 6 znajdują zastosowanie, jednakże § 6 ust. 4 tylko w przypadku, gdy wyznaczenie inspektora ochrony danych jest obligatoryjne”.

11.

Paragraf 134 kodeksu cywilnego, w wersji opublikowanej w dniu 2 stycznia 2002 r. ( 6 ), zatytułowany „Zakaz określony w ustawie”, ma następujące brzmienie:

„Czynność prawna, która jest sprzeczna z zakazem ustawowym, jest nieważna, chyba że ustawa stanowi inaczej”.

12.

Paragraf 626 tego kodeksu, zatytułowany „Wypowiedzenie ze skutkiem natychmiastowym z ważnej przyczyny”, stanowi:

„1.   Każda ze stron może wypowiedzieć stosunek pracy z ważnej przyczyny bez zachowania terminu wypowiedzenia, jeżeli zachodzą okoliczności faktyczne, na podstawie których nie można racjonalnie oczekiwać od wypowiadającego, z uwzględnieniem wszystkich okoliczności konkretnego przypadku i przy wyważeniu interesów obu stron umowy, kontynuowania stosunku pracy do chwili upływu terminu wypowiedzenia lub do chwili uzgodnionego wygaśnięcia stosunku pracy.

2.   Wypowiedzenie może zostać dokonane jedynie w ciągu dwóch tygodni. Termin rozpoczyna bieg w chwili, w której uprawniony do wypowiedzenia dowiedział się o faktach mających znaczenie dla wypowiedzenia. […]”.

III. Postępowanie główne i pytania prejudycjalne

13.

Leistritz jest spółką prawa prywatnego, zobowiązaną zgodnie z prawem niemieckim do wyznaczenia inspektora ochrony danych. LH była zatrudniona na stanowisku kierownika zespołu ds. prawnych i zakładowego inspektora ochrony danych, odpowiednio, od dnia 15 stycznia 2018 r. i od dnia 1 lutego 2018 r.

14.

Pismem z dnia 13 lipca 2018 r. Leistritz zwolniła LH z zachowaniem terminu wypowiedzenia ze skutkiem od dnia 15 sierpnia 2018 r., powołując się na restrukturyzację przedsiębiorstwa, w ramach której działalność w zakresie wewnętrznego doradztwa prawnego i ochrony danych zostały zlecone na zewnątrz.

15.

Sądy rozstrzygające sprawę co do istoty, przed którymi LH żądała stwierdzenia nieważności rozwiązania stosunku pracy, orzekły, że stosunek pracy inspektora ochrony danych może zostać rozwiązany zgodnie z § 38 ust. 2 w związku z § 6 ust. 4 zdanie drugie BDSG tylko w drodze wypowiedzenia z ważnej przyczyny bez zachowania terminu wypowiedzenia. Opisana zaś przez Leistritz restrukturyzacja nie stanowi w przekonaniu tych sądów ważnej przyczyny wypowiedzenia bez zachowania terminu wypowiedzenia.

16.

Sąd odsyłający, rozpatrujący skargę rewizyjną wniesioną przez Leistritz, zauważa, że zgodnie z prawem niemieckim rozwiązanie umowy o pracę z LH jest nieważne na podstawie tych przepisów i § 134 kodeksu cywilnego ( 7 ). Sąd ten wskazuje jednak, że możliwość zastosowania tych przepisów zależy od tego, czy prawo Unii, a w szczególności art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 dopuszcza uregulowanie państwa członkowskiego, na mocy którego rozwiązanie stosunku pracy inspektora ochrony danych warunkują przesłanki bardziej restrykcyjne niż przesłanki określone w prawie Unii. Jeśli nie, powinien on uwzględnić skargę rewizyjną.

17.

W tych okolicznościach Bundesarbeitsgericht (federalny sąd pracy) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)

Czy art. 38 ust. 3 zdanie drugie rozporządzenia [2016/679] należy interpretować w ten sposób, że stoi on na przeszkodzie przepisowi prawa krajowego, takiemu jak sporny w niniejszej sprawie § 38 ust. 1 i 2 w związku z § 6 ust. 4 zdanie drugie [BDSG], na mocy którego niedozwolone jest wypowiedzenie w zwyczajnym trybie stosunku pracy inspektora ochrony danych przez administratora będącego jego pracodawcą, niezależnie od tego, czy następuje ono z powodu wykonywania jego zadań?

2)

W razie udzielenia odpowiedzi twierdzącej na pytanie pierwsze:

Czy art. 38 ust. 3 zdanie drugie [rozporządzenia 2016/679] stoi na przeszkodzie przepisowi prawa krajowego również w wypadku, gdy wyznaczenie inspektora ochrony danych nie jest obligatoryjne na podstawie art. 37 ust. 1 [tego rozporządzenia], lecz jedynie na podstawie prawa państwa członkowskiego?

3)

W razie udzielenia odpowiedzi twierdzącej na pytanie pierwsze:

Czy art. 38 ust. 3 zdanie drugie [rozporządzenia 2016/679] jest oparty na wystarczającej podstawie upoważniającej, w szczególności w zakresie, w jakim obejmuje inspektorów ochrony danych pozostających w stosunku pracy z administratorem?”.

18.

LH, Leistritz, rządy niemiecki i rumuński oraz Parlament Europejski, Rada Unii Europejskiej i Komisja Europejska przedstawiły uwagi na piśmie. Uczestnicy ci, z wyjątkiem rządów niemieckiego i rumuńskiego, przedstawili swoje uwagi ustne na rozprawie, która odbyła się w dniu 18 listopada 2021 r.

IV. Analiza

A.   W przedmiocie pytania pierwszego

19.

W pytaniu pierwszym sąd odsyłający dąży co do istoty do ustalenia, czy art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu, które przewiduje, że pracodawca inspektora ochrony danych może go zwolnić jedynie z ważnej przyczyny, nawet jeśli zwolnienie nie jest związane z wypełnianiem przez tego inspektora jego zadań.

20.

Odpowiedź na to pytanie wymaga w pierwszej kolejności wyjaśnienia zakresu wyrażenia „odwoływany […] za wypełnianie swoich zadań” użytego przez prawodawcę Unii w art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679. W drugiej kolejności należy ustalić, czy państwa członkowskie mogą rozszerzyć gwarancje, z których inspektor ochrony danych korzysta na podstawie tego przepisu.

1. W przedmiocie ochrony inspektora ochrony danych przewidzianej w art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679

21.

Artykuł 38 rozporządzenia 2016/679 znajduje się w rozdziale IV tego rozporządzenia, dotyczącym „administratora i podmiotu przetwarzającego”, a konkretnie w sekcji 4, zatytułowanej „Inspektor ochrony danych”. Sekcja ta zawiera trzy artykuły dotyczące, odpowiednio, wyznaczenia inspektora ochrony danych ( 8 ), jego statusu ( 9 ) i zadań, które polegają zasadniczo na udzielaniu wskazanym podmiotom porad w zakresie przetwarzania danych i na kontroli przestrzegania przepisów dotyczących ochrony danych ( 10 ).

22.

Podczas dokonywania wykładni art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 należy, zgodnie z utrwalonym orzecznictwem Trybunału, brać pod uwagę nie tylko jego brzmienie, lecz także kontekst, w jakim został on umieszczony, oraz cele regulacji, której stanowi on część ( 11 ).

23.

Co się tyczy brzmienia art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679, pragnę zauważyć, że wyraża on pewien obowiązek w sposób negatywny. Stanowi on bowiem, że „[inspektor ochrony danych] nie jest […] odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań” ( 12 ).

24.

Przepis ten określa zatem zakres ochrony inspektora ochrony danych. Jest on chroniony, po pierwsze, przed wszelkimi decyzjami skutkującymi zakończeniem pełnienia przez niego funkcji lub stawiającymi go w niekorzystnej sytuacji, jeżeli, po drugie, taka decyzja pozostaje w związku z wypełnianiem jego zadań.

25.

Co się tyczy rozróżnienia między środkiem polegającym na odwołaniu inspektora ochrony danych a środkiem, który jest dla niego karą, stwierdzam, po pierwsze, że środków tych nie definiuje wyraźnie ani w sposób dorozumiany żaden przepis rozporządzenia 2016/679 ( 13 ).

26.

Po przeprowadzeniu badania porównawczego innych wersji językowych można uznać, że art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 odnosi się do dwóch rodzajów środków, a mianowicie środków skutkujących zakończeniem wykonywania funkcji inspektora ochrony danych, jak również środków, które stanowią sankcje lub stawiają inspektora w niekorzystnej sytuacji, niezależnie od ich charakteru. W związku z tym definicje te mogą obejmować zwolnienia, w drodze których pracodawca rozwiązuje umowę o pracę ( 14 ).

27.

Wyniki badań dotyczących genezy art. 38 rozporządzenia 2016/679, do których miałem dostęp, z uwagi na brak szczegółowych informacji nie pozwalają na wyjaśnienie dokładnych zamiarów prawodawcy Unii co do zakresu pojęcia „odwoływany”. Można jedynie stwierdzić, że dodanie w brzmieniu tego aktu pojęcia „odwołania” nastąpiło na późnym etapie procesu legislacyjnego ( 15 ), na którym równocześnie usunięto następujący fragment zdania, który znajdował się po „Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych”: „mógł wypełniać swoje zadania w sposób niezależny” ( 16 ). Na tej podstawie możliwy jest wniosek, że prawodawca chciał skonkretyzować obowiązek nieodwoływania inspektora ochrony danych za wypełnianie zadań.

28.

Pragnę również zauważyć, że prawodawca Unii postanowił dosłownie powielić treść art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 w art. 44 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE ( 17 ). Jednakże z dokumentów dotyczących opracowania rozporządzenia 2018/1725 nie można wywnioskować żadnego wyjaśnienia przez to, że, moim zdaniem, w art. 44 ust. 8 dodano inną istotną gwarancję udzieloną inspektorowi ochrony danych, a mianowicie, że inspektor ów „może być zwolniony ze stanowiska przez instytucję lub organ Unii, który go powołał, wyłącznie za zgodą Europejskiego Inspektora Ochrony Danych, jeżeli przestał spełniać warunki konieczne do wykonywania jego obowiązków”.

29.

Po drugie, pragnę zauważyć, że w art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 nie dokonano rozróżnienia w zależności od tego, czy inspektor ochrony danych jest czy nie jest członkiem personelu administratora danych lub podmiotu przetwarzającego ( 18 ). Rozporządzenie to nie zawiera bowiem żadnego przepisu dotyczącego współzależności między decyzjami podejmowanymi przez pracodawcę w ramach stosunku pracy a decyzjami dotyczącymi funkcji inspektora. Jedyne ustanowione ograniczenie dotyczy powodu zakończenia pełnienia funkcji przez inspektora ochrony danych, a mianowicie, że nie może nim być żadna przyczyna związana z wypełnianiem jego zadań.

30.

Ogólne sformułowanie art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679, jak również wybór tego ograniczenia, są uzasadnione celem realizowanym przez prawodawcę Unii.

31.

W projekcie uzasadnienia Rady uściślono bowiem, że wyznaczenie inspektora ochrony danych ma na celu zwiększenie przestrzegania rozporządzenia 2016/679 ( 19 ). Dlatego też art. 38 ust. 3 zdanie drugie tego rozporządzenia ustanawia obowiązki pozwalające zagwarantować niezależność rzeczonego inspektora. I tak, w tym samym artykule przewidziano, że inspektor ochrony danych nie otrzymuje instrukcji dotyczących wykonywania jego zadań i bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego ( 20 ). Ma on również obowiązek zachowania tajemnicy zawodowej lub poufności ( 21 ).

32.

Nacisk położono zatem na rygor uregulowania prawnego funkcji inspektora ochrony danych – szczególnie uzasadniony, jeśli inspektora wyznacza administrator danych, który jest jego pracodawcą. W związku z tym, dzięki zakazowi wyrażonemu w art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 wspomniany inspektor otrzymuje gwarancje prerogatyw przysługujących mu przy wykonywaniu zadań, które w pewnych przypadkach mogą być trudne do pogodzenia z zadaniami ustalonymi przez pracodawcę w ramach stosunku pracy.

33.

Analiza, zgodnie z którą jedynym celem tego przepisu jest organizacja wykonywania funkcji inspektora ochrony danych w sposób niezależny, znajduje potwierdzenie w kontekście, w którym przepis ów przyjęto.

34.

W tym względzie należy podkreślić, że przedmiotem rozporządzenia 2016/679, zgodnie z jego art. 1, jest ustanowienie przepisów o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisów o swobodnym przepływie danych osobowych. Zostało ono przy tym przyjęte na podstawie art. 16 ust. 2 TFUE ( 22 ), co oznacza, jak już wskazałem we wcześniejszych opiniach, że chociaż ochrona danych osobowych jest ze swej natury przekrojowa, harmonizacja dokonana w tym rozporządzeniu ogranicza się do aspektów wyraźnie objętych rzeczonym rozporządzeniem w tej dziedzinie ( 23 ).

35.

Ze wszystkich powyższych względów nie ulega wątpliwości, moim zdaniem, że szczególna ochrona inspektora ochrony danych przewidziana w art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 jest odpowiednia do przedmiotu tego rozporządzenia, ponieważ wzmacnia autonomię tegoż inspektora. Nie przynależy zatem do rozleglejszej dziedziny ochrony pracowników ( 24 ).

36.

W konsekwencji ponownie pojawia się pytanie, czy państwa członkowskie zachowują swobodę stanowienia prawa poza aspektami wyraźnie objętymi rozporządzeniem 2016/679, z zastrzeżeniem, że nie podważają one treści i celów tego rozporządzenia ( 25 ).

2. W przedmiocie uprawnienia państw członkowskich do rozszerzenia gwarancji zapewnionych inspektorowi ochrony danych przez art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679

37.

Moim zdaniem, cel rozporządzenia 2016/679 określony w motywie 13, w wykonaniu którego prawodawca Unii gwarantuje niezależność inspektora ochrony danych w sposób ogólny w art. 38 ust. 3 zdanie drugie tego rozporządzenia ( 26 ), uzasadnia możliwość przyjęcia przez państwo członkowskie wszelkich innych środków mających na celu wzmocnienie autonomii inspektora przy wypełnianiu jego zadań.

38.

Analiza ta nie stoi w sprzeczności ze skutkami rozporządzeń określonymi w art. 288 akapit drugi TFUE ani z wynikającym z niego obowiązkiem państw członkowskich do niewprowadzania odstępstw od rozporządzeń, które obowiązują w całości i są stosowane bezpośrednio, czy też do ich nieuzupełniania, chyba że przepisy danego rozporządzenia przyznają państwom członkowskim zakres swobody, który powinien lub może, w zależności od przypadku, zostać wykorzystany przez te państwa na warunkach i w granicach przewidzianych w tych przepisach ( 27 ).

39.

W konsekwencji pragnę powtórzyć moją opinię, zgodnie z którą zakres harmonizacji dokonanej rozporządzeniem 2016/679 różni się w zależności od danej normy. Określenie normatywnego zakresu rzeczonego rozporządzenia wymaga zatem przeprowadzenia badania każdej z nich oddzielnie ( 28 ).

40.

W tym względzie pragnę zauważyć, że art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 reguluje – przewidując odnośny zakaz – odwołanie inspektora ochrony danych wyłącznie w związku z wypełnianiem jego zadań, które, jak się zakłada, wypełnia on prawidłowo ( 29 ), przy czym nie ma mowy o stopniu powagi powołanej przyczyny ani o różnych aspektach stosunku podporządkowania wobec pracodawcy, które mogą mieć wpływ na wyznaczenie inspektora. Zatem nie uwzględnia się, na przykład, czasu trwania umowy o pracę, podmiotowego lub gospodarczego powodu jej rozwiązania, które może podlegać ewentualnym negocjacjom, ani też zawieszenia stosunku pracy z powodu choroby, szkolenia, corocznego urlopu wypoczynkowego lub urlopu długoterminowego.

41.

Ponadto przyświecający prawodawcy Unii zamiar pozostawienia państwom członkowskim zadania uzupełnienia przepisów chroniących niezależność inspektora ochrony danych, przyjmując za punkt wyjścia minimalne ramy prawne dotyczące wypełniania jego zadań, określone zgodnie z celami rozporządzenia 2016/679, widać również w braku przepisu odnoszącego się do czasu trwania mandatu tego inspektora – inaczej niż przewiduje art. 44 ust. 8 zdanie pierwsze rozporządzenia 2018/1725 ( 30 ) – lub do przypadków reorganizacji przedsiębiorstwa prowadzącej do zlecenia na zewnątrz realizacji funkcji inspektora ochrony danych, z powodów niezwiązanych z wypełnianiem jego zadań, jak w niniejszej sprawie.

42.

W konsekwencji państwa członkowskie mogą postanowić o wzmocnieniu niezależności inspektora ochrony danych w zakresie, w jakim przyczynia się ona do realizacji celów rozporządzenia 2016/679, w szczególności w odniesieniu do rozwiązania stosunku pracy, ponieważ w prawie Unii nie istnieje żaden przepis, który mógłby służyć za podstawę szczególnej i konkretnej ochrony tego inspektora przed zwolnieniem z przyczyn niezwiązanych z wypełnianiem jego zadań, chociaż rozwiązanie stosunku pracy musi skutkować zakończeniem ich wypełniania.

43.

W tym względzie należy przypomnieć, że w dziedzinie ochrony pracowników w przypadku wypowiedzenia umowy o pracę art. 153 ust. 1 lit. d) TFUE uściśla, że Unia wspiera i uzupełnia działania państw członkowskich oraz że, mówiąc bardziej ogólnie, w dziedzinie polityki społecznej Unia i państwa członkowskie posiadają na podstawie art. 4 ust. 2 lit. b) TFUE kompetencje dzielone w odniesieniu do aspektów określonych w traktacie FUE w rozumieniu art. 2 ust. 2 TFUE.

44.

W tych okolicznościach każde państwo członkowskie może swobodnie ustanowić przepisy szczególne dotyczące zwolnienia inspektora ochrony danych, pod warunkiem że przepisy te będą zgodne z systemem chroniącym tego inspektora, przewidzianym w rozporządzeniu 2016/679 ( 31 ).

45.

Jak wynika ze zwięzłego badania przepisów państw członkowskich, z którymi mogłem się zapoznać ( 32 ), większość z nich nie przyjęła szczególnych przepisów dotyczących zwolnienia i pozostała przy zakazie ustanowionym w art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679, mającym bezpośrednie zastosowanie ( 33 ).

46.

Jednakże niektóre państwa członkowskie postanowiły uzupełnić ten artykuł ( 34 ).

47.

W tym względzie pragnę zauważyć, że grupa robocza ds. artykułu 29 uznała, iż „[z]godnie ze zwykłą zasadą zarządzania, a także podobnie jak w przypadku każdego innego pracownika lub wykonawcy, na podstawie i z zastrzeżeniem mających zastosowanie krajowych przepisów dotyczących zobowiązań, prawa pracy lub przepisów karnych, [inspektor ochrony danych] może zostać odwołany zgodnie z prawem z przyczyn innych niż wykonywanie zadań jako [inspektor ochrony danych] (np. kradzież, nękanie fizyczne i psychiczne lub molestowanie seksualne lub inne podobne uchybienia)” ( 35 ).

48.

Niezależnie od wyboru dokonanego przez państwa członkowskie, do zagwarantowania niezależności tego inspektora, moim zdaniem, przyczynia się również w każdym państwie organ administracyjny lub sądowy, odpowiedzialny za kontrolę zgodności z prawem przyczyn odwołania inspektora ochrony danych.

49.

Skoro bowiem jest wysoce prawdopodobne, że związek z zadowalającym wykonywaniem zadań przez inspektora ochrony danych nie będzie wynikał wyraźnie z decyzji o odwołaniu go ( 36 ), można sobie wyobrazić ogólną ochronę wynikającą z samego statusu inspektora ochrony danych. W niniejszej sprawie z wyjaśnień sądu odsyłającego wynika, że to właśnie pojęcie „ważnej przyczyny”, rozumiane zgodnie z jego wykładnią w prawie niemieckim, powoduje, że w związku z koniecznością zapewnienia dodatkowej ochrony nie można zwolnić inspektora ochrony danych w przypadku restrukturyzacji ( 37 ). Podobnie można uznać, że w razie trudności gospodarczych przedsiębiorstwa, które ma obowiązek wyznaczenia inspektora ochrony danych i powołało na to stanowisko jednego ze swoich pracowników, powinien on wypełniać swoje zadania tak długo, jak długo trwa działalność pracodawcy, ze względu na cel rozporządzenia 2016/679 i przyczynianie się takiego inspektora do jego realizacji.

50.

Jednakże zakaz ustanowiony w art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 siłą rzeczy napotyka ograniczenia w przypadku wystąpienia obiektywnych nieprawidłowości w wypełnianiu zadań inspektora ochrony danych w świetle jego obowiązków. Ograniczenia te należy określić zgodnie z celem rzeczonego rozporządzenia ( 38 ).

51.

Tym samym wykładnia zgodna z celem rozporządzenia 2016/679 powinna, moim zdaniem, prowadzić do wniosku, że inspektor ochrony danych może zostać odwołany, jeżeli nie spełnia już kryteriów jakościowych koniecznych do wypełniania odnośnych zadań, takich jak wymienione w art. 37 ust. 5 tego rozporządzenia, lub nie wypełnia obowiązków określonych w art. 38 ust. 3 zdania pierwsze i trzecie, a także ust. 5 i 6 tego rozporządzenia ( 39 ), lub też gdy jego poziom wiedzy okaże się niewystarczający ( 40 ).

52.

W konsekwencji jestem zdania, że art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 należy interpretować w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu, które przewiduje, iż pracodawca inspektora ochrony danych może go zwolnić jedynie z ważnej przyczyny, nawet jeśli zwolnienie nie jest związane z wypełnianiem zadań przez tego inspektora.

53.

Gdyby jednak Trybunał nie podzielił tej opinii i postanowił odpowiedzieć na pierwsze pytanie sądu odsyłającego twierdząco, konieczne będzie udzielenie odpowiedzi na dwa pozostałe pytania prejudycjalne.

B.   W przedmiocie pytania drugiego

54.

W pytaniu drugim sąd odsyłający zmierza do ustalenia, czy art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 stoi na przeszkodzie uregulowaniu krajowemu, które uznaje zwolnienie inspektora ochrony danych za niezgodne z prawem w braku ważnej przyczyny, nawet jeśli zwolnienie nie jest związane z wypełnianiem jego zadań, gdy wyznaczenie inspektora ochrony danych nie jest obligatoryjne na podstawie art. 37 ust. 1 tego rozporządzenia, lecz jedynie na podstawie prawa krajowego, jak przewiduje to art. 37 ust. 4 wspomnianego rozporządzenia.

55.

Pragnę zauważyć, że ani art. 38 ust. 3 rozporządzenia 2016/679, ani pozostałe przepisy sekcji 4 tego rozporządzenia dotyczącej inspektora ochrony danych nie dokonują rozróżnienia w zależności od tego, czy wyznaczenie tego inspektora jest obligatoryjne, czy fakultatywne.

56.

W konsekwencji uważam, że na pytanie sądu odsyłającego należy odpowiedzieć, iż art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 znajduje zastosowanie niezależnie od tego, czy wyznaczenie inspektora ochrony danych jest obligatoryjne na podstawie prawa Unii, czy na mocy prawa krajowego.

C.   W przedmiocie pytania trzeciego

57.

W pytaniu trzecim sąd odsyłający zastanawia się nad ważnością art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679, a w szczególności nad tym, czy przepis ten opiera się na wystarczającej podstawie prawnej, w szczególności w zakresie, w jakim obejmuje inspektorów ochrony danych pozostających w stosunku pracy z administratorem.

58.

Proponuję, aby Trybunał uznał, że art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 opiera się na wystarczającej podstawie prawnej, ponieważ jego jedynym przedmiotem jest zabezpieczenie inspektora ochrony danych przed przeszkodami w wypełnianiu jego zadań, a gwarancja ta, bez względu na istnienie stosunku pracy, przyczynia się do skutecznej realizacji celów tego rozporządzenia.

59.

Po pierwsze, jak wskazałem bowiem w ramach analizy pierwszego pytania prejudycjalnego ( 41 ), podstawę prawną, na której opiera się to rozporządzenie, stanowi art. 16 TFUE. Ponadto Trybunał orzekł, że artykuł ten stanowi, bez uszczerbku dla art. 39 TUE, odpowiednią podstawę prawną, jeżeli jednym z celów lub podstawowych elementów składowych przepisów przyjętych przez prawodawcę Unii jest ochrona danych osobowych ( 42 ).

60.

Po drugie, w odniesieniu do roli inspektora ochrony danych i jego sytuacji prawnej, określonych w rozporządzeniu 2016/679, jedna z tych przesłanek jest, moim zdaniem, całkowicie spełniona. Gwarancja niezależności tego inspektora w wykonywaniu obowiązków, mająca na celu realizację wymogu zapewnienia wysokiego poziomu poszanowania praw podstawowych osób, których dotyczy przetwarzanie danych osobowych ( 43 ), znalazła wyraz w art. 38 ust. 3 zdanie drugie tego rozporządzenia w postaci zakazu odwołania inspektora z przyczyn związanych z jego zadaniami. Ponieważ przepis ten nie wymaga dokonania jakiejkolwiek harmonizacji w prawie pracy, prawodawca Unii nie przekroczył uprawnień normatywnych przyznanych mu w art. 16 ust. 2 TFUE.

61.

Co się tyczy poszanowania zasad pomocniczości i proporcjonalności, nad którym sąd odsyłający również zastanawia się, pragnę zauważyć, po pierwsze, że coraz intensywniejsze transgraniczne przetwarzanie danych osobowych uzasadnia wprowadzenie w życie ich ochrony w świetle praw podstawowych na poziomie Unii ( 44 ) poprzez zagwarantowanie, w szczególności, prerogatyw inspektora ochrony danych, który, jak się uważa, odgrywa „kluczową rolę” w tej ochronie ( 45 ). Po drugie, art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 nie wydaje mi się wykraczać poza to, co jest konieczne dla zagwarantowania niezależności owego inspektora w wykonywaniu obowiązków. Prawdą jest, że gwarancja braku odwołania, przewidziana w tym przepisie, ma nieuchronnie wpływ na stosunek pracy. Jednakże wpływ ten ma na celu jedynie zapewnienie skuteczności funkcji inspektora ochrony danych.

62.

W konsekwencji uważam, że na pytanie sądu odsyłającego należy odpowiedzieć, iż analiza trzeciego pytania prejudycjalnego nie wykazała niczego, co mogłoby podważyć ważność art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679.

V. Wnioski

63.

Mając na względzie całość powyższych rozważań, proponuję, aby Trybunał odpowiedział na pytania prejudycjalne zadane przez Bundesarbeitsgericht (federalny sąd pracy, Niemcy) w następujący sposób:

Tytułem głównym:

Artykuł 38 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu, które przewiduje, iż pracodawca inspektora ochrony danych może go zwolnić jedynie z ważnej przyczyny, nawet jeśli zwolnienie nie jest związane z wypełnianiem zadań przez tego inspektora.

Tytułem uzupełniającym, na wypadek udzielenia przez Trybunał odpowiedzi twierdzącej na pierwsze pytanie prejudycjalne:

Artykuł 38 ust. 3 zdanie drugie rozporządzenia 2016/679 znajduje zastosowanie niezależnie od tego, czy wyznaczenie inspektora ochrony danych jest obligatoryjne na podstawie prawa Unii, czy na mocy prawa krajowego.

Analiza trzeciego pytania prejudycjalnego nie wykazała niczego, co mogłoby podważyć ważność art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679.


( 1 ) Język oryginału: francuski.

( 2 ) Dz.U. 2016, L 119, s. 1; sprostowanie: Dz.U. 2018, L 127, s. 2.

( 3 ) BGBl. 1990 I, s. 2954.

( 4 ) BGBl. 2017 I, s. 2097, zwana dalej „BDSG”.

( 5 ) W § 38 ust. 1 zdanie pierwsze BDSG w brzmieniu obowiązującym od dnia 26 listopada 2019 r. liczba osób zatrudnionych została zwiększona do „dwudziestu”.

( 6 ) BGBl. 2002 I, s. 42, sprostowanie s. 2909, i BGBl. 2003 I, s. 738.

( 7 ) Sąd odsyłający dodał, że zgodnie z jego orzecznictwem ważnej przyczyny odwołania nie stanowi zapewnienie ochrony danych w zakładzie przez zewnętrznego inspektora ochrony danych podyktowane zmianami organizacyjnymi [zob. wyrok Bundesarbeitsgericht (federalnego sądu pracy) 10 AZR 562/09 z dnia 23 marca 2011 r., pkt 18, dostępny pod następującym adresem internetowym: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/].

( 8 ) Artykuł 37 tego rozporządzenia.

( 9 ) Artykuł 38 wspomnianego rozporządzenia.

( 10 ) Artykuł 39 tego samego rozporządzenia.

( 11 ) Zobacz w szczególności wyrok z dnia 12 maja 2021 r., Bundesrepublik Deutschland (Czerwona nota Interpolu) (C‑505/19, EU:C:2021:376, pkt 77).

( 12 ) Wyróżnienie moje.

( 13 ) W tym względzie w dokumencie zatytułowanym „Wytyczne dotyczące inspektorów ochrony danych (»DPO«)” (zwanym dalej „wytycznymi dotyczącymi DPO”), przyjętym w dniu 13 grudnia 2016 r. i zmienionym w dniu 5 kwietnia 2017 r., dostępnym pod następującym adresem internetowym: https://ec.europa.eu/newsroom/article29/items/612048/en grupa robocza ds. ochrony osób fizycznych ustanowiona na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 13) (zwana dalej „grupą roboczą ds. artykułu 29”) wyjaśniła, że „[k]ary mogą przybierać różne formy i mogą mieć charakter bezpośredni lub pośredni. Mogą opierać się np. na braku lub opóźnieniu awansu; utrudnieniu rozwoju zawodowego; odmowie dostępu do korzyści oferowanych pozostałym pracownikom. Nie jest przy tym konieczne, by te kary zostały rzeczywiście wykonane, gdyż sama możliwość jej wykonania i obawa z tym związana może być wystarczająca, aby utrudnić [inspektorowi ochrony danych] wykonywanie jego zadań” (s. 18 i 19). Od wejścia w życie rozporządzenia 2016/679 rzeczoną grupę roboczą zastąpiła Europejska Rada Ochrony Danych (EROD). Organ ten zatwierdził wytyczne dotyczące DPO w trakcie swojego pierwszego zgromadzenia plenarnego w dniu 25 maja 2018 r. (zob. https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).

( 14 ) Jak podkreśla LH, poza niemiecką wersją językową art. 38 ust. 3 zdanie drugie rozporządzenia 2016/679 („abberufen”), wersje językowe takie jak hiszpańska („destituido”), francuska („relevé”) lub portugalska („destituído”) wyraźnie wskazują, że rozporządzenie to dotyczy zakończenia pełnienia funkcji inspektora ochrony danych, a nie „stosunku pracy” („kündigen” w języku niemieckim). Zobacz także wersje w języku angielskim („dismissed”), włoskim („rimosso”), polskim („odwoływany”) i rumuńskim („demis”).

( 15 ) Zobacz notę prezydencji Rady Unii Europejskiej z dnia 3 października 2014 r. na temat wniosku w sprawie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) [pierwsze czytanie] – Rozdział IV, dostępną pod następującym adresem internetowym: https://data.consilium.europa.eu/doc/document/ST‑13772‑2014-INIT/pl/pdf, dotyczącą dodania w art. 36 ust. 3 tej propozycji sformułowania, że inspektor ochrony danych nie może być karany za wypełnianie swoich zadań (s. 34). Zobacz również stanowisko Rady w pierwszym czytaniu w sprawie przyjęcia rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 6 kwietnia 2016 r., dostępne pod następującym adresem internetowym: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, w którym przyjęto obecne brzmienie art. 38 rozporządzenia 2016/679.

( 16 ) Wyrażenie „w sposób niezależny” znajduje się w ostatnim zdaniu motywu 97 rozporządzenia 2016/679.

( 17 ) Dz.U. 2018, L 295, s. 39.

( 18 ) Zobacz art. 37 ust. 6 rozporządzenia 2016/679.

( 19 ) Zobacz także stanowisko Rady w pierwszym czytaniu w sprawie przyjęcia rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólnego rozporządzenia o ochronie danych) oraz uchylenia dyrektywy 95/46/WE – Projekt uzasadnienia Rady, z dnia 31 marca 2016 r., dostępny pod następującym adresem internetowym: https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (s. 22). Jeśli chodzi o istotną rolę inspektora ochrony danych przy stosowaniu rozporządzenia nr 2016/679, zob. motyw 97 tego rozporządzenia, jak również jego zadania określone w art. 39 rozporządzenia. W tym względzie grupa robocza ds. artykułu 29 przypomniała w wytycznych dotyczących DPO, że przed przyjęciem rozporządzenia 2016/679 argumentowała, iż inspektor ochrony danych „pełni kluczową rolę w procesie zapewniania rozliczalności oraz że wyznaczenie [inspektora ochrony danych] może ułatwić przestrzeganie obowiązujących przepisów” (s. 5). Rzeczona grupa robocza wskazała również, że rozporządzenie to uznaje „kluczową rolę [inspektora ochrony danych] w nowym systemie zarządzania danymi” (s. 6). Zobacz, jako przykład potrzeb informacyjnych administratora danych lub podmiotu przetwarzającego, które powinien zaspokajać inspektor ochrony danych, wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems (C‑311/18, EU:C:2020:559, pkt 134).

( 20 ) Zobacz art. 38 ust. 3 zdania pierwsze i trzecie rozporządzenia 2016/679.

( 21 ) Zobacz art. 38 ust. 5 rozporządzenia 2016/679.

( 22 ) Zobacz preambułę i motyw 12 rozporządzenia 2016/679, a także wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt 44).

( 23 ) Zobacz moją opinię w sprawie Facebook Ireland (C‑319/20, EU:C:2021:979, pkt 51).

( 24 ) W tym kontekście jestem zdania, że nie można argumentować, iż przepisy art. 88 ust. 1 tego rozporządzenia stanowią klauzulę upoważniającą.

( 25 ) Zobacz moją opinię w sprawie Facebook Ireland (C‑319/20, EU:C:2021:979, pkt 51).

( 26 ) Zobacz pkt 31 niniejszej opinii.

( 27 ) Zobacz w szczególności, w odniesieniu do rozporządzenia 2016/679, moją opinię w sprawie Facebook Ireland (C‑319/20, EU:C:2021:979, pkt 52).

( 28 ) Zobacz moją opinię w sprawie Facebook Ireland (C‑319/20, EU:C:2021:979, pkt 52). Ponadto w pkt 55 tej opinii zwróciłem już uwagę Trybunału na fakt, że rozporządzenie 2016/679 zawiera liczne klauzule upoważniające, na mocy których rozporządzenie to przenosi wyraźnie kompetencję prawodawczą na państwa członkowskie, co odróżnia je od klasycznego rozporządzenia i zbliża do dyrektywy.

( 29 ) W tym względzie, jak podkreśla E. Bielak-Jomaa, Artykuł 38. Status inspektora ochrony danych, w: E. Bielak-Jomaa i D. Lubasz, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa, Wolters Kluwer, 2018, s. 794–806, w szczególności pkt 5, akapit czwarty, grupa robocza ds. artykułu 29 nie wskazała żadnego kryterium, które mogłoby pomóc przy ustalaniu prawidłowości lub nieprawidłowości wypełniania zadań przez inspektora ochrony danych. Podobnie O. Foret, Le rôle du DPO, w: A. Bensamoun i B. Bertrand, Le règlement général sur la protection des données, Aspects institutionnels et matériels, Paris, Mare et Martin, 2020, s. 233–239, w szczególności s. 235 i 236, podnosi, że „EIOD [Europejski Inspektor Ochrony Danych] wyjaśnia w swoich wytycznych, iż […] »wymagany [do wyznaczenia na inspektora ochrony danych] poziom wiedzy fachowej nie został precyzyjnie określony, ale musi odpowiadać on wrażliwości, złożoności i ilości danych przetwarzanych przez organizację«” (zob. wytyczne dotyczące DPO, s. 13). Zobacz również s. 14 tych wytycznych. Zobacz także pkt 50 i 51 niniejszej opinii.

( 30 ) Zobacz M. Bergt, Art 38. Stellung des Datenschutzbeauftragten, w: J. Kühling i B. Buchner, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. Aufl., München, C.H. Beck, 2020, w szczególności pkt 29. Autor ten podkreśla, że „[i]naczej niż przewidziano w projektach Komisji i Parlamentu, art. 38 nie przewiduje minimalnego czasu trwania mandatu, na który inspektor ochrony danych jest wyznaczany” (tłumaczenie nieoficjalne).

( 31 ) Zobacz pkt 31 i 32 niniejszej opinii. Można dodać, że prawodawca Unii celowo przyjął tę opcję, a nie zaakceptował propozycji Europejskiego Komitetu Ekonomiczno-Społecznego w ramach prac legislacyjnych dotyczących rozporządzenia 2016/679, zmierzającej do ściślejszego określenia „warunków pełnienia […] funkcji [inspektora ochrony danych], dotyczących takich kwestii jak: ochrona przed zwolnieniem, która powinna być jasno zdefiniowana i wykraczać poza okres pełnienia tej funkcji przez daną osobę”: zob. pkt 4.11.1 opinii Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (ogólne rozporządzenie o ochronie danych) (Dz.U. 2012, C 229, s. 90).

( 32 ) Zobacz w szczególności informacje dostępne pod następującymi adresami internetowymi: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= i https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.

( 33 ) Tak jest w przypadku Królestwa Danii, Irlandii, Republiki Chorwacji, Republiki Włoskiej, Republiki Cypryjskiej, Republiki Malty, Królestwa Niderlandów, Republiki Austrii, Rzeczypospolitej Polskiej, Republiki Portugalskiej, Rumunii i Republiki Finlandii. W Republice Chorwacji, Republice Malty i Rzeczypospolitej Polskiej, tak jak w Republice Bułgarii, odwołanie lub zmianę inspektora należy zgłosić krajowemu organowi ochrony danych osobowych. W niektórych państwach członkowskich, jak Republika Francuska i Wielkie Księstwo Luksemburga, wyjaśniono, że inspektor ochrony danych nie korzysta ze statusu pracownika objętego ochroną, który dawałby gwarancję dodatkową w stosunku do gwarancji przewidzianej w rozporządzeniu 2016/679.

( 34 ) Zobacz, w prawie belgijskim, art. 6 akapit trzeci arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données (dekretu królewskiego w sprawie doradców w dziedzinie bezpieczeństwa i ochrony prywatności oraz platformy bezpieczeństwa i ochrony danych) z dnia 6 grudnia 2015 r. (Moniteur belge z dnia 28 grudnia 2015 r., s. 79268), wydanego przed wejściem w życie rozporządzenia 2016/679, zgodnie z którym „[p]racodawca lub właściwy organ może rozwiązać umowę doradcy, zakończyć stosunek mianowania doradcy lub zwolnić go wyłącznie z przyczyn niezwiązanych z jego niezależnością lub z przyczyn wskazujących na jego niezdolność do wypełniania zadań” (wyróżnienie moje). Zobacz również, w prawie hiszpańskim, art. 36 ust. 2 Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (ustawy organicznej nr 3/2018 o ochronie danych osobowych i o gwarancji praw cyfrowych) z dnia 5 grudnia 2018 r. (BOE nr 294 z dnia 6 grudnia 2018 r., s. 119788), zgodnie z którym „[j]eżeli inspektor ochrony danych jest osobą fizyczną w ramach organizacji administratora danych lub podmiotu przetwarzającego, nie może zostać odwołany ani ukarany przez administratora lub przez podmiot przetwarzający z powodu wykonywania swoich funkcji, z wyjątkiem przypadku winy umyślnej lub rażącego niedbalstwa przy ich wykonywaniu […]” (wyróżnienie moje).

( 35 ) Zobacz wytyczne dotyczące DPO (s. 19). Wyróżnienie moje.

( 36 ) Zobacz podobnie P. Fajgielski, Artykuł 38. Status inspektora ochrony danych, w: Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa, Wolters Kluwer, 2018, s. 430–437, w szczególności pkt 5, akapit piąty. Zobacz także S. Kremer, § 6 Datenschutzbeauftragter, w: P. Laue, J. Nink i S. Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., Baden-Baden, Nomos, 2019, w szczególności pkt 36; oraz M. Bergt, Art 38. Stellung des Datenschutzbeauftragten, op.cit., w szczególności pkt 30, a także A. Bussche, Art. 38 DSGVO, w: K.-U. Plath, DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 3. Aufl., Köln, Otto Schmidt, 2018, w szczególności pkt 19.

( 37 ) Zobacz przypis 7 niniejszej opinii.

( 38 ) Zobacz pkt 31, 60 i 61 niniejszej opinii.

( 39 ) Zobacz pkt 31 niniejszej opinii. Zobacz także zawisłe obecnie sprawy X-FAB Dresden (C‑453/21) i KISA (C‑560/21), w których do Trybunału zwróciły się dwie różne izby Bundesarbeitsgericht (federalnego sądu pracy), zadając te same pytania prejudycjalne, lecz w sprawie dotyczącej odwołania z powodu konfliktu interesów. W pierwszej z tych spraw zadano dodatkowe pytanie, dotyczące kryteriów takiego konfliktu.

( 40 ) Zobacz podobnie S. Kremer, § 6 Datenschutzbeauftragter, op.cit., w szczególności pkt 35; a także A. Bussche, Art. 38 DSGVO, op.cit., w szczególności pkt 17.

( 41 ) Zobacz pkt 34 niniejszej opinii.

( 42 ) Opinia 1/15 (umowa UE–Kanada o danych PNR) z dnia 26 lipca 2017 r. (EU:C:2017:592, pkt 96).

( 43 ) Zobacz wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt, 44, 45, 91).

( 44 ) Zobacz podobnie wyrok z dnia 15 czerwca 2021 r., Facebook Ireland i in. (C‑645/19, EU:C:2021:483, pkt 45 i w drodze analogii pkt 47).

( 45 ) Zobacz przypis 19 czwarte zdanie niniejszej opinii.

Top