–

w imieniu Leistritz AG – O. Seeling oraz C. Wencker, Rechtsanwälte,

–

w imieniu LH – S. Lohneis, Rechtsanwalt,

–

w imieniu rządu niemieckiego – J. Möller oraz S.K. Costanzo, w charakterze pełnomocników,

–

w imieniu rządu rumuńskiego – E. Gane, w charakterze pełnomocnika,

–

w imieniu Parlamentu Europejskiego – O. Hrstková Šolcová, P. López-Carceller oraz B. Schäfer, w charakterze pełnomocników,

–

w imieniu Rady Unii Europejskiej – T. Haas oraz K. Pleśniak, w charakterze pełnomocników,

–

w imieniu Komisji Europejskiej – K. Herrmann, H. Kranenborg oraz D. Nardi, w charakterze pełnomocników,

1

Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni i ważności art. 38 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwanego dalej „RODO”).

2

Wniosek ten został przedstawiony w ramach postępowania toczącego się pomiędzy Leistritz AG a LH, która wypełniała obowiązki inspektorki ochrony danych w tej spółce, w przedmiocie rozwiązania umowy o pracę, motywowanego reorganizacją służb w ramach spółki.

3

Motywy 10 i 97 RODO mają następujące brzmienie:

[…]

4

Artykuł 37 RODO, zatytułowany „Wyznaczenie inspektora ochrony danych”, stanowi, co następuje:

„1.   Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

[…]

6.   Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

[…]”.

5

Artykuł 38 RODO, noszący tytuł „Status inspektora ochrony danych”, stanowi w ust. 3 i 5:

„3.   Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

[…]

5.   Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego”.

6

Artykuł 39 RODO, noszący tytuł „Zadania inspektora ochrony danych”, stanowi w ust. 1 lit. b):

„Inspektor ochrony danych ma następujące zadania:

[…]

[…]”.

7

Paragraf 6 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych) z dnia 20 grudnia 1990 r. (BGBl. 1990 I, s. 2954), w brzmieniu obowiązującym od dnia 25 maja 2018 r. do dnia 25 listopada 2019 r. (BGBl. 2017 I, s. 2097) (zwanej dalej „BDSG”), zatytułowany „Status”, w ust. 4 stanowi:

„Odwołanie inspektora lub inspektorki ochrony danych jest dozwolone tylko w odpowiednim zastosowaniu § 626 Bürgerliches Gesetzbuch [(kodeksu cywilnego) w brzmieniu opublikowanym w dniu 2 stycznia 2002 r. (BGBl. 2002 I, s. 42; sprostowania: BGBl. 2002 I, s. 2909, i BGBl. 2003 I, s. 738)]. Rozwiązanie stosunku pracy jest niedozwolone, chyba że zachodzą okoliczności faktyczne uprawniające podmiot publiczny do rozwiązania go z ważnej przyczyny bez zachowania terminu wypowiedzenia. Po zakończeniu pełnienia funkcji inspektora lub inspektorki ochrony danych rozwiązanie stosunku pracy jest niedozwolone przez rok, chyba że podmiot publiczny jest uprawniony do wypowiedzenia go z ważnej przyczyny bez zachowania terminu wypowiedzenia”.

8

Paragraf 38 BDSG, zatytułowany „Inspektor ochrony danych podmiotów niepublicznych”, przewiduje:

„1)   W uzupełnieniu art. 37 ust. 1 lit. b) i c) [RODO] administrator i podmiot przetwarzający wyznaczają inspektora lub inspektorkę ochrony danych, jeżeli z reguły zatrudniają co najmniej dziesięć osób zajmujących się na stałe automatycznym przetwarzaniem danych osobowych. […]

2)   Paragraf 6 ust. 4 i § 6 ust. 5 zdanie drugie oraz § 6 ust. 6 znajdują zastosowanie, jednakże § 6 ust. 4 tylko w przypadku, gdy wyznaczenie inspektora lub inspektorki ochrony danych jest obligatoryjne”.

9

Paragraf 134 kodeksu cywilnego w brzmieniu opublikowanym w dniu 2 stycznia 2002 r. (zwanego dalej „kodeksem cywilnym”), zatytułowany „Zakaz określony w ustawie”, ma następujące brzmienie:

„Czynność prawna, która jest sprzeczna z zakazem ustawowym, jest nieważna, chyba że ustawa stanowi inaczej”.

10

Paragraf 626 tego kodeksu, zatytułowany „Rozwiązanie bez wypowiedzenia z ważnej przyczyny”, stanowi:

„1)   Każda ze stron może rozwiązać stosunek pracy z ważnej przyczyny bez zachowania terminu wypowiedzenia, jeżeli zachodzą okoliczności faktyczne, na podstawie których nie można racjonalnie oczekiwać od strony rozwiązującej umowę, z uwzględnieniem wszystkich okoliczności konkretnego przypadku i przy wyważeniu interesów obu stron umowy, kontynuowania stosunku pracy do chwili upływu terminu wypowiedzenia lub do chwili uzgodnionego zakończenia stosunku pracy.

2)   Umowę można rozwiązać jedynie w terminie dwóch tygodni. Termin rozpoczyna bieg w chwili, w której strona, która może rozwiązać umowę, dowiedziała się o faktach mających znaczenie dla rozwiązania. […]”.

11

Leistritz jest spółką prawa prywatnego, zobowiązaną zgodnie z prawem niemieckim do wyznaczenia inspektora ochrony danych. LH była w tej spółce zatrudniona na stanowisku kierowniczki zespołu ds. prawnych od dnia 15 stycznia 2018 r. i inspektorki ochrony danych od dnia 1 lutego 2018 r.

12

Pismem z dnia 13 lipca 2018 r. Leistritz rozwiązał z LH stosunek pracy z zachowaniem terminu wypowiedzenia ze skutkiem od dnia 15 sierpnia 2018 r., powołując się na restrukturyzację spółki, w ramach której działalność w zakresie wewnętrznego doradztwa prawnego i ochrony danych zostały zlecone na zewnątrz.

13

Sądy rozstrzygające sprawę co do istoty, przed którymi LH podważała ważność rozwiązania stosunku pracy, orzekły, że to rozwiązanie stosunku pracy było nieważne zgodnie z § 38 ust. 2 w związku z § 6 ust. 4 zdanie drugie BDSG, ponieważ stosunek pracy z LH jako inspektorką ochrony danych osobowych mógł zostać rozwiązany bez zachowania terminu wypowiedzenia tylko z ważnej przyczyny. Opisana zaś przez Leistritz restrukturyzacja nie stanowiła takiej ważnej przyczyny.

14

Sąd odsyłający, rozpoznający skargę rewizyjną wniesioną przez Leistritz, zauważa, że zgodnie z prawem niemieckim rozwiązanie umowy o pracę z LH jest nieważne na podstawie tych przepisów i § 134 kodeksu cywilnego. Sąd odsyłający uważa jednak, że zastosowanie § 38 ust. 2 w związku z § 6 ust. 4 zdanie drugie BDSG zależy od tego, czy prawo Unii, a w szczególności art. 38 ust. 3 zdanie drugie RODO, zezwala na uregulowanie państwa członkowskiego, na mocy którego rozwiązanie stosunku pracy z inspektorem ochrony danych jest obwarowane warunkami bardziej restrykcyjnymi niż warunki określone w prawie Unii. Jeśli nie, powinien on uwzględnić skargę rewizyjną.

15

Sąd odsyłający uściśla, że jego wątpliwości powodowane są rozbieżnościami w krajowej doktrynie. Z jednej strony zgodnie ze stanowiskiem większości przewidziana w § 38 ust. 2 w związku z § 6 ust. 4 zdanie drugie BDSG szczególna ochrona przed rozwiązaniem stosunku pracy stanowi normę materialnego prawa pracy, w odniesieniu do której Unia nie posiada kompetencji legislacyjnej, a tym samym omawiane przepisy nie są sprzeczne z art. 38 ust. 3 zdanie drugie RODO. Z drugiej strony, według zwolenników opinii mniejszościowej, związki między tą ochroną a statusem inspektora ochrony danych osobowych wchodziłyby w konflikt z prawem Unii i po powołaniu inspektora ochrony danych tworzyłyby presję ekonomiczną w celu stałego utrzymywania jego stanowiska.

16

W tych okolicznościach Bundesarbeitsgericht (federalny sąd pracy, Niemcy) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

17

Poprzez swoje pytanie pierwsze sąd odsyłający zmierza zasadniczo do ustalenia, czy wykładni art. 38 ust. 3 zdanie drugie RODO należy dokonywać w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający może rozwiązać stosunek pracy z inspektorem ochrony danych, będącym członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli rozwiązanie stosunku pracy nie jest związane z wypełnianiem przez tego inspektora jego zadań.

18

Jak wynika z utrwalonego orzecznictwa, przy dokonywaniu wykładni przepisu prawa Unii należy uwzględniać nie tylko jego brzmienie zgodnie z jego zwykłym znaczeniem w języku potocznym, lecz także jego kontekst oraz cele uregulowania, którego część przepis ten stanowi (wyrok z dnia 22 lutego 2022 r., Stichting Rookpreventie Jeugd i in., C‑160/20, EU:C:2022:101, pkt 29 i przytoczone tam orzecznictwo).

19

W pierwszej kolejności, co się tyczy brzmienia rozpatrywanego przepisu, należy przypomnieć, że art. 38 ust. 3 RODO stanowi w zdaniu drugim, że „[inspektor ochrony danych] [n]ie jest […] odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań”.

20

Na wstępie należy zauważyć, że RODO nie definiuje terminów „odwoływany”, „karany” i „za wypełnianie swoich zadań”, zawartych w art. 38 ust. 3 zdanie drugie.

21

Niemniej jednak, po pierwsze, zgodnie ze znaczeniem tych terminów w języku potocznym nałożony na administratora danych lub podmiot przetwarzający zakaz odwoływania inspektora ochrony danych z jego funkcji lub karania go oznacza, jak zauważył w istocie rzecznik generalny w pkt 24 i 26 opinii, że ten inspektor powinien być chroniony przed wszelkimi decyzjami skutkującymi zakończeniem pełnienia przez niego funkcji lub stawiającymi go w niekorzystnej sytuacji, lub takimi, które stanowiłyby sankcję.

22

W tym względzie decyzję taką może stanowić środek w postaci rozwiązania stosunku pracy z inspektorem ochrony danych, jaki zostałby podjęty przez jego pracodawcę i jaki zakończyłby stosunek pracy istniejący między tym inspektorem a tym pracodawcą, a także w konsekwencji również pełnienie funkcji inspektora ochrony danych w danym przedsiębiorstwie.

23

Po drugie, należy stwierdzić, że art. 38 ust. 3 zdanie drugie RODO ma zastosowanie bez rozróżnienia zarówno do inspektora ochrony danych będącego członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i do osoby wykonującej swoje zadania na podstawie zawartej z nimi umowy o świadczenie usług, zgodnie z art. 37 ust. 6 RODO.

24

Wynika z tego, że art. 38 ust. 3 zdanie drugie RODO ma zastosowanie do stosunków między inspektorem ochrony danych a administratorem danych lub podmiotem przetwarzającym niezależnie od charakteru stosunku pracy łączącego tego inspektora z administratorem lub podmiotem przetwarzającym.

25

Po trzecie, należy zauważyć, że przepis ten ustanawia ograniczenie, które polega, jak podkreślił w istocie rzecznik generalny w pkt 29 opinii, na zakazie rozwiązania stosunku pracy z inspektorem ochrony danych z przyczyn związanych z wypełnianiem przez niego jego zadań, które obejmują w szczególności, zgodnie z art. 39 ust. 1 lit. b) RODO, monitorowanie przestrzegania przepisów prawa Unii lub prawa państw członkowskich o ochronie danych oraz polityk [przepisów wewnętrznych] administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych.

26

W drugiej kolejności, co się tyczy celu realizowanego przez art. 38 ust. 3 zdanie drugie RODO, należy podkreślić, po pierwsze, że motyw 97 tego rozporządzenia stanowi, iż inspektorzy ochrony danych, bez względu na to, czy są pracownikami administratora, powinni być w stanie wypełniać swoje obowiązki i zadania w sposób niezależny. W tym względzie taka niezależność musi im umożliwiać wypełnianie tych zadań zgodnie z celem RODO, który jak wynika z jego motywu 10, służy zapewnieniu wysokiego poziomu ochrony osób fizycznych w Unii i w tym celu zapewnieniu spójnego i jednolitego stosowania zasad ochrony podstawowych praw i wolności tych osób w odniesieniu do przetwarzania danych osobowych w całej Unii (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 207 i przytoczone tam orzecznictwo).

27

Po drugie, cel zmierzający do zagwarantowania niezależności funkcjonalnej inspektora ochrony danych, który wynika z art. 38 ust. 3 zdanie drugie RODO, wynika również z art. 38 ust. 3 zdanie pierwsze i trzecie, który wymaga, aby inspektor ten nie otrzymywał żadnych instrukcji dotyczących wypełniania swoich zadań i bezpośrednio podlegał najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, a także z art. 38 ust. 5, który przewiduje, że omawiany inspektor jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

28

Tym samym należy przyjąć, że art. 38 ust. 3 zdanie drugie RODO, poprzez zapewnienie ochrony inspektorowi ochrony danych przed każdą decyzją, która kładłaby kres pełnieniu przez niego funkcji, która stawiałaby go w niekorzystnej sytuacji lub która stanowiłby sankcję, w sytuacji gdy taka decyzja pozostaje w związku z wypełnianiem przez niego zadań, zmierza zasadniczo do ochrony niezależności funkcjonalnej inspektora ochrony danych, a wobec tego do zapewnienia skuteczności przepisów RODO. Przepis ten nie ma natomiast na celu globalnego uregulowania stosunków pracy między administratorem danych lub podmiotem przetwarzającym a członkami jego personelu, na które może oddziaływać jedynie ubocznie, w zakresie ściśle niezbędnym do osiągnięcia tych celów.

29

Wykładnię tę potwierdza w trzeciej kolejności kontekst, w jaki wpisuje się wspomniany przepis, a w szczególności podstawa prawna, w oparciu o którą prawodawca Unii przyjął RODO.

30

Z preambuły RODO wynika bowiem, że rozporządzenie to zostało przyjęte na podstawie art. 16 TFUE, którego ust. 2 przewiduje w szczególności, że Parlament Europejski i Rada Unii Europejskiej, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych.

31

Natomiast poza szczególną ochroną inspektora ochrony danych przewidzianą w art. 38 ust. 3 zdanie drugie RODO ustalenie zasad ochrony przed rozwiązaniem umowy o pracę z inspektorem ochrony danych zatrudnionym przez administratora danych lub podmiot przetwarzający nie wchodzi w zakres ani ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ani swobodnego przepływu tych danych, lecz w zakres polityki społecznej.

32

W tym względzie należy przypomnieć, po pierwsze, że zgodnie z art. 4 ust. 2 lit. b) TFUE Unia i państwa członkowskie posiadają kompetencje dzielone w dziedzinie polityki społecznej w odniesieniu do aspektów określonych w traktacie FUE w rozumieniu art. 2 ust. 2 TFUE. Po drugie, jak uściśla art. 153 ust. 1 lit. d) TFUE, Unia wspiera i uzupełnia działania państw członkowskich w dziedzinie ochrony pracowników w przypadku wypowiedzenia umowy o pracę (zob. analogicznie wyrok z dnia 19 listopada 2019 r., TSN i AKT, C‑609/17 i C‑610/17, EU:C:2019:981, pkt 47).

33

Niemniej jednak, jak wynika z art. 153 ust. 2 lit. b) TFUE, Parlament i Rada mogą w drodze dyrektyw przyjmować minimalne wymagania w tym zakresie, ponieważ zgodnie z orzecznictwem Trybunału takie minimalne wymagania nie mogą w świetle art. 153 ust. 4 TFUE uniemożliwiać państwu członkowskiemu utrzymania lub ustanowienia bardziej rygorystycznych przepisów ochronnych, zgodnych z traktatami (zob. podobnie wyrok z dnia 19 listopada 2019 r., TSN i AKT, C‑609/17 i C‑610/17, EU:C:2019:981, pkt 48).

34

Wynika z tego, jak podkreślił w istocie rzecznik generalny w pkt 44 opinii, że każde państwo członkowskie może przy wykonywaniu pozostawionych mu kompetencji ustanowić przepisy szczególne zapewniające większą ochronę w zakresie rozwiązywania stosunku pracy z inspektorem ochrony danych, o ile przepisy te są zgodne z prawem Unii, a konkretnie z przepisami RODO, między innymi z jego art. 38 ust. 3 zdanie drugie.

35

W szczególności, jak zauważył rzecznik generalny w pkt 50 i 51 opinii, taka wzmożona ochrona nie może zagrozić realizacji celów RODO. Tymczasem byłoby tak, gdyby uniemożliwiała ona jakiekolwiek rozwiązanie stosunku pracy z inspektorem ochrony danych przez administratora danych lub podmiot przetwarzający, który nie posiadałby już cech zawodowych wymaganych do wypełniania swoich zadań lub który nie wywiązywałby się z nich zgodnie z przepisami RODO.

36

W świetle powyższego na pytanie pierwsze należy odpowiedzieć następująco: wykładni art. 38 ust. 3 zdanie drugie RODO należy dokonywać w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający może rozwiązać stosunek pracy z inspektorem ochrony danych, będącym członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli rozwiązanie stosunku pracy nie jest związane z wypełnianiem przez tego inspektora jego zadań, o ile takie uregulowanie nie zagraża realizacji celów RODO.

37

Zważywszy na odpowiedź udzieloną na pytanie pierwsze, nie ma potrzeby udzielania odpowiedzi na pytania drugie i trzecie.

38

Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (pierwsza izba) orzeka, co następuje:

Wykładni art. 38 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy dokonywać w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający może rozwiązać stosunek pracy z inspektorem ochrony danych, będącym członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli rozwiązanie stosunku pracy nie jest związane z wypełnianiem przez tego inspektora jego zadań, o ile takie uregulowanie nie zagraża realizacji celów tego rozporządzenia.