Sprawa C‑534/20

Leistritz AG

przeciwko

(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Bundesarbeitsgericht)

Wyrok Trybunału (pierwsza izba) z dnia 22 czerwca 2022 r.

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) nr 2016/679 – Artykuł 38 ust. 3 zdanie drugie – Inspektor ochrony danych – Nałożony na administratora lub podmiot przetwarzający zakaz odwoływania inspektora ochrony danych lub karania go za wypełnianie jego zadań – Podstawa prawna – Artykuł 16 TFUE – Wymóg niezależności w wykonywaniu obowiązków – Przepisy krajowe zakazujące zwolnienia inspektora ochrony danych w braku ważnej przyczyny

Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie 2016/679 – Inspektor ochrony danych – Funkcja – Nałożony na administratora lub podmiot przetwarzający zakaz odwoływania inspektora ochrony danych lub karania go za wypełnianie jego zadań – Przepisy krajowe zakazujące zwolnienia inspektora ochrony danych w braku ważnej przyczyny – Zwolnienie z pracy niezwiązane z wykonywaniem obowiązków przez tego inspektora – Dopuszczalność – Przesłanka – Przestrzeganie celów przewidzianych w tym rozporządzeniu

(rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 38 ust. 3 zdanie drugie)

(zob. pkt 21–36; sentencja)

Streszczenie

LH od dnia 1 lutego 2018 r. wypełnia obowiązki inspektorki ochrony danych w spółce Leistritz AG. Spółka ta jest zobowiązana na podstawie niemieckich przepisów prawnych wyznaczyć inspektora ochrony danych. W lipcu 2018 r. Leistritz rozwiązał z LH stosunek pracy z zachowaniem terminu wypowiedzenia, powołując się na restrukturyzację spółki, w ramach której działalność w zakresie ochrony danych została zlecona na zewnątrz.

Sądy rozstrzygające sprawę co do istoty, przed którymi LH podważała ważność rozwiązania stosunku pracy, orzekły, że to rozwiązanie stosunku pracy było nieważne. Zgodnie bowiem z niemieckimi przepisami federalnymi, stosunek pracy z LH jako inspektorką ochrony danych osobowych mógł zostać rozwiązany bez zachowania terminu wypowiedzenia tylko z ważnej przyczyny. Tymczasem restrukturyzacja działalności Leistritz nie stanowiła takiej ważnej przyczyny.

Bundesarbeitsgericht (federalny sąd pracy, Niemcy) rozpoznający skargę rewizyjną wniesioną przez Leistritz stawia sobie pytanie, czy ogólne rozporządzenie o ochronie danych ( 1 ) dopuszcza uregulowanie państwa członkowskiego, na mocy którego rozwiązanie stosunku pracy inspektora ochrony danych warunkują przesłanki bardziej restrykcyjne niż przesłanki określone w prawie Unii.

W swoim wyroku Trybunał orzekł, że art. 38 ust. 3 zdanie drugie RODO ( 2 ) nie stoi na przeszkodzie uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający mógłby rozwiązać stosunek pracy z inspektorem ochrony danych, będącym członkiem jego personelu, jedynie z ważnej przyczyny. To rozumowanie znajduje zastosowanie nawet jeśli rozwiązanie stosunku pracy nie jest związane z wypełnianiem przez tego inspektora jego zadań, o ile takie uregulowanie nie zagraża realizacji celów RODO.

Ocena Trybunału

W pierwszej kolejności Trybunał podkreślił, że zgodnie z brzmieniem art. 38 ust. 3 zdanie drugie RODO nałożony na administratora danych lub podmiot przetwarzający zakaz odwoływania inspektora ochrony danych z jego funkcji lub karania go oznacza, że ten inspektor powinien być chroniony przed wszelkimi decyzjami skutkującymi zakończeniem pełnienia przez niego funkcji lub stawiającymi go w niekorzystnej sytuacji, lub takimi, które stanowiłyby sankcję. Tym samym, decyzję taką może stanowić środek w postaci rozwiązania stosunku pracy z inspektorem ochrony danych, jaki zostałby podjęty przez jego pracodawcę i jaki zakończyłby stosunek pracy istniejący między tym inspektorem a tym pracodawcą. Odnośnie do tego stosunku pracy Trybunał uściślił, że art. 38 ust. 3 zdanie drugie RODO ma zastosowanie zarówno do inspektora ochrony danych będącego członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i do osoby wykonującej swoje zadania na podstawie zawartej z nimi umowy o świadczenie usług. Przepis ten ma wobec tego zastosowanie do stosunków między inspektorem ochrony danych a administratorem danych lub podmiotem przetwarzającym niezależnie od charakteru stosunku pracy łączącego tego inspektora z administratorem lub podmiotem przetwarzającym. Poza tym omawiany przepis ustanawia ograniczenie, które polega na zakazie rozwiązania stosunku pracy z inspektorem ochrony danych z przyczyn związanych z wypełnianiem przez niego jego zadań ( 3 ).

W drugiej kolejności, co się tyczy celu realizowanego przez art. 38 ust. 3 zdanie drugie RODO, rozporządzenie to ( 4 ) stanowi, iż inspektorzy ochrony danych, bez względu na to, czy są pracownikami administratora, powinni być w stanie wypełniać swoje obowiązki i zadania w sposób niezależny, zgodnie z celem RODO ( 5 ). Tym samym, cel zmierzający do zagwarantowania niezależności funkcjonalnej inspektora ochrony danych ( 6 ) wymaga, aby inspektor ten nie otrzymywał żadnych instrukcji dotyczących wypełniania swoich zadań i bezpośrednio podlegał najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, a także aby omawiany inspektor był zobowiązany do zachowania tajemnicy lub poufności. W związku z tym art. 38 ust. 3 zdanie drugie RODO zmierza do ochrony niezależności inspektora ochrony danych, ponieważ przepis ten zapewnia mu ochronę przed każdą decyzją wiążącą się z jego obowiązkami, która kładłaby kres pełnieniu przez niego funkcji, która stawiałaby go w niekorzystnej sytuacji lub która stanowiłby sankcję. Przepis ten nie ma natomiast na celu globalnego uregulowania stosunków pracy między administratorem danych lub podmiotem przetwarzającym a członkami jego personelu.

Co się tyczy wreszcie, w trzeciej kolejności, kontekstu, w jaki wpisuje się art. 38 ust. 3 zdanie drugie RODO Trybunał uściślił, że poza szczególną ochroną inspektora ochrony danych przewidzianą w tym przepisie, ochrona przed rozwiązaniem umowy o pracę z inspektorem ochrony danych zatrudnionym przez administratora danych lub podmiot przetwarzający nie wchodzi w zakres uregulowań, które mogą być przyjęte na podstawie RODO ( 7 ), lecz w zakres polityki społecznej. Tymczasem Unia i państwa członkowskie posiadają kompetencje dzielone ( 8 ) w tej dziedzinie. Unia bowiem wspiera i uzupełnia działania państw członkowskich w dziedzinie ochrony pracowników w przypadku wypowiedzenia umowy o pracę poprzez uchwalanie minimalnych wymagań w tym zakresie. Wobec tego każde państwo członkowskie może przy wykonywaniu swoich kompetencji ustanowić przepisy szczególne zapewniające większą ochronę w zakresie rozwiązywania stosunku pracy z inspektorem ochrony danych, o ile przepisy te są zgodne z przepisami RODO. W szczególności, taka wzmożona ochrona nie może zagrozić realizacji celów RODO. Tymczasem byłoby tak, gdyby uniemożliwiała ona jakiekolwiek rozwiązanie stosunku pracy z inspektorem ochrony danych przez administratora danych lub podmiot przetwarzający, który nie posiadałby już cech zawodowych wymaganych do wypełniania swoich zadań lub który nie wywiązywałby się z nich zgodnie z przepisami RODO.

( 1 ) Zobacz w szczególności art. 38 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

( 2 ) Na podstawie art. 38 ust. 3 zdanie drugie RODO, inspektor ochrony danych nie jest odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.

( 3 ) Na podstawie art. 39 ust. 1 lit. B) RODO zadania te obejmują w szczególności: monitorowanie przestrzegania przepisów prawa Unii lub prawa państw członkowskich o ochronie danych oraz polityk [przepisów wewnętrznych] administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych.

( 4 ) A w szczególności motyw 97 RODO.

( 5 ) RODO, jak wynika z jego motywu 10, służy między innymi zapewnieniu wysokiego poziomu ochrony osób fizycznych w Unii.

( 6 ) Tak jak wynika z art. 38 ust. 3 zdania pierwsze, drugie i trzecie jak również z art. 38 ust. 5 RODO.

( 7 ) Artykuł 16 ust. 2 TFUE, który stanowi podstawę prawną RODO, pozwala na przyjęcie przepisów w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych

( 8 ) Zgodnie z art. 4 ust. 2 lit. b) TFUE.