1.

W sporze, w ramach którego został przedstawiony rozpatrywany wniosek o wydanie orzeczenia w trybie prejudycjalnym, w istocie chodzi o ustalenie, czy nauczyciele zatrudnieni przez ministerstwo kraju związkowego Hesji (Niemcy) muszą wyrazić zgodę na rozpowszechnienie ich lekcji w drodze wideokonferencji, czy też, w braku takiej zgody, przetwarzanie ich danych osobowych ( 2 ) może być objęte jednym z prawnie uzasadnionych celów, o których mowa w rozporządzeniu (UE) 2016/679 ( 3 ).

2.

Rozpatrywane odesłanie prejudycjalne daje Trybunałowi sposobność orzekania po raz pierwszy, o ile się nie mylę, w przedmiocie art. 88 RODO. Zgodnie z brzmieniem tego przepisu państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem.

3.

Wskazane poniżej motywy mają następujące brzmienie:

„[…]

[…]

[…]

[…]

[…]”.

4.

Artykuł 5 RODO, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi:

„1.   Dane osobowe muszą być:

2.   Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (»rozliczalność«)”.

5.

Artykuł 6 RODO, zatytułowany „Zgodność przetwarzania z prawem”, brzmi:

„1.   Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

[…]

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

2.   Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX.

3.   Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

4.   Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

6.

Artykuł 88 RODO, zatytułowany „Przetwarzanie w kontekście zatrudnienia”, stanowi:

„1.   Państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

2.   Przepisy te muszą obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych, w szczególności pod względem przejrzystości przetwarzania, przekazywania danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz systemów monitorujących w miejscu pracy.

3.   Do dnia 25 maja 2018 r. każde państwo członkowskie zawiadamia Komisję o swoich przepisach przyjętych na mocy ust. 1, a następnie niezwłocznie o każdej dotyczącej ich późniejszej zmianie”.

7.

Paragraf 23 HDSIG stanowi:

„(1)   Dla celów związanych ze stosunkiem pracy można przetwarzać dane osobowe pracowników, jeżeli jest to niezbędne dla podjęcia decyzji o nawiązaniu stosunku pracy lub po nawiązaniu stosunku pracy dla jego wykonania, zakończenia lub likwidacji, a także dla podejmowania wewnętrznych służbowych środków o charakterze planistycznym, organizacyjnym, socjalnym i kadrowym. Dotyczy to również wykonywania praw i obowiązków rad pracowniczych, wynikających z ustawy lub układu zbiorowego pracy, porozumienia zakładowego w sektorze prywatnym albo porozumienia zakładowego w sektorze publicznym (porozumienia zbiorowego).

[…]

(4)   Przetwarzanie danych osobowych, w tym kategorii szczególnych danych osobowych pracowników dla celów związanych ze stosunkiem pracy, jest dopuszczalne na podstawie porozumień zbiorowych. Strony negocjacji przestrzegają przy tym art. 88 ust. 2 [RODO].

(5)   Administrator musi podjąć odpowiednie środki, aby zapewnić przestrzeganie w szczególności zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 [RODO].

[…]

(8)   W rozumieniu niniejszej ustawy pracownikami są:

[…]

[…]”.

8.

Paragraf 86 ust. 4 HBG stanowi:

„Pracodawca może zbierać dane osobowe dotyczące kandydatów, urzędników oraz byłych urzędników jedynie w zakresie, w jakim jest to niezbędne dla nawiązania, wykonania, zakończenia lub likwidacji stosunku pracy lub dla podejmowania środków o charakterze organizacyjnym, kadrowym i socjalnym, w szczególności również dla celów związanych z planowaniem i wykorzystywaniem kadr, lub zezwala na to przepis prawa lub porozumienie zakładowe w sektorze publicznym […]”.

9.

Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy), który pierwotnie zwrócił się do Trybunału z rozpatrywanym wnioskiem o wydanie orzeczenia w trybie prejudycjalnym, nie przedstawił szczegółowego opisu okoliczności faktycznych ani zaskarżonych przepisów ( 6 ), ani też okoliczności związanych z przebiegiem postępowania, koncentrując się raczej na przedstawieniu swoich wątpliwości dotyczących aspektów prawnych.

10.

Sąd ten ogranicza się do stwierdzenia, że strony „nie zgadzają się co do tego, czy w przypadku wprowadzenia lekcji transmitowanych na żywo przez Internet w ramach systemów wideokonferencyjnych – oprócz zgody rodziców uczniów niepełnoletnich lub zgody udzielanej przez uczniów pełnoletnich – wymagana jest również zgoda danego nauczyciela, czy też przeciwnie, mające w tym przypadku miejsce przetwarzanie danych wchodzi w zakres zastosowania § 23 ust. 1 zdanie pierwsze HDSIG […]”.

11.

W szczególności sąd ten ma wątpliwości, czy § 23 ust. 1 zdanie pierwsze HDSIG stanowi „bardziej szczegółowy przepis” w odniesieniu do przetwarzania danych osobowych pracowników w rozumieniu art. 88 RODO. Zdaniem sądu odsyłającego przepis ten nie spełnia wymogów wynikających z art. 88 ust. 2 RODO, ponieważ:

12.

Sąd odsyłający stwierdza, że nie podziela orzecznictwa Bundesarbeitsgericht (federalnego sądu pracy, Niemcy) dotyczącego zgodności federalnego odpowiednika § 23 ust. 1 zdanie pierwsze HDSIG ( 7 ) z art. 88 RODO.

13.

Przeciwnie, sąd a quo uważa, że:

14.

W tym kontekście sąd ten skierował do Trybunału następujące pytania:

15.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym wpłynął do sekretariatu Trybunału w dniu 20 stycznia 2021 r.

16.

Rozstrzygnięcie sporu leżącego u podstaw niniejszej sprawy z dniem 1 grudnia 2021 r. ( 8 ) przeszło do właściwości Verwaltungsgericht Frankfurt am Main (sądu administracyjnego we Frankfurcie nad Menem, Niemcy), przed którym postępowanie było kontynuowane.

17.

Uwagi na piśmie zostały przedstawione przez rządy niemiecki, austriacki i rumuński, a także przez Komisję. Wszystkie te podmioty, a także rada główna ds. nauczycieli, odpowiedziały na piśmie na pytanie, które przed rozprawą skierował do nich Trybunał.

18.

W rozprawie w dniu 30 czerwca 2022 r. wzięły udział rada główna ds. nauczycieli, ministerstwo edukacji i kultury kraju związkowego Hesji, rząd niemiecki i Komisja.

19.

W uwagach na piśmie rząd niemiecki sprzeciwił się uznaniu odesłania prejudycjalnego za dopuszczalne, jako że sąd odsyłający, rozważając, czy przetwarzanie danych osobowych nieodłącznie związane z transmisją lekcji na żywo w formie wideokonferencji jest objęte § 23 ust. 1 HDSIG, nie wyjaśnia powodów, dla których wykluczył możliwość takiego przetwarzania na podstawie zgody nauczyciela.

20.

Podczas rozprawy rząd niemiecki częściowo złagodził ten sprzeciw, przyznając, że Trybunał musiałby wydać rozstrzygnięcie (czyli odesłanie byłoby dopuszczalne), gdyby nauczyciele, których przetwarzanie dotyczy, nie wyrazili na nie zgody.

21.

W każdym razie odmowa rozstrzygnięcia przez Trybunał w przedmiocie postawionego przez sąd krajowy pytania prejudycjalnego jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą się zwrócono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem sporu w postępowaniu głównym, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego, które są niezbędne do udzielenia użytecznej odpowiedzi na przedstawione mu pytania ( 9 ).

22.

Żadna z tych okoliczności nie stosuje się do rozpatrywanego odesłania prejudycjalnego, w odniesieniu do którego ma pierwszeństwo domniemanie znaczenia dla sprawy ( 10 ). U podstaw tego odesłania leży założenie, że niekoniecznie wszyscy nauczyciele wyrażają zgodę na przetwarzanie ich danych osobowych, a więc nadal istnieje interes w ustaleniu zgodności z prawem Unii przepisu ( 11 ), który stanowiłby podstawę tego przetwarzania w przypadku braku zgody osoby, której dane dotyczą.

23.

Pytanie prejudycjalne ogranicza się właśnie do ustalenia, czy unormowanie, które służyłoby za podstawę przetwarzania danych osobowych nauczycieli w przypadku braku ich zgody, spełnia – czy też nie – wymogi wynikające z art. 88 ust. 1 i 2 RODO. W tej sytuacji wystarczający związek między sporem w postępowaniu głównym a przepisami prawa Unii, o których wykładnię wniesiono, jest niezaprzeczalny.

24.

Poprzez pierwsze pytanie prejudycjalne sąd odsyłający dąży do ustalenia, czy aby dany przepis stanowił „bardziej szczegółowy przepis” w rozumieniu art. 88 ust. 1 RODO, musi on spełniać wymogi art. 88 ust. 2.

25.

Lektura art. 88 RODO prowadzi do wniosku, że „bardziej szczegółowe przepisy”, o których mowa w ust. 1, muszą spełniać wymogi ust. 2.

26.

Zgodnie z art. 88 ust. 2 RODO „przepisy te” (czyli przepisy bardziej szczegółowe, o których mowa w ust. 1 i które państwa członkowskie mogą ustanowić) muszą obejmować „odpowiednie i szczegółowe środki” zapewniające poszanowanie godności, prawnie uzasadnionych interesów i praw podstawowych pracowników. Przepisy te muszą w szczególności uwzględniać przejrzystość przetwarzania, przekazywanie danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców oraz systemy monitorujące w miejscu pracy.

27.

Istnieje zatem oczywisty związek między oboma ustępami art. 88 RODO: ten drugi precyzuje, w sposób bezwzględnie wiążący ( 12 ), treść przepisów szczególnych, które państwa członkowskie mogą przyjąć, w kontekście zatrudnienia, na podstawie tego pierwszego.

28.

Odpowiedź na to pytanie prejudycjalne nie nastręcza zatem większych trudności: art. 88 RODO należy interpretować w ten sposób, że przepis, który ma stanowić „przepis bardziej szczegółowy” w rozumieniu ust. 1 tego artykułu, „musi spełniać wymogi” – by posłużyć się słowami sądu odsyłającego – ust. 2 tego samego artykułu.

29.

Jest mało prawdopodobne, aby dojście do tego wniosku przez sąd a quo wymagało pomocy ze strony Trybunału. Z tego powodu być może prawdziwe znaczenie pierwszego pytania prejudycjalnego należy ustalić w świetle drugiego. W tym ostatnim kwestią jest to, czy przepis krajowy, który „nie spełnia wymogów wynikających z art. 88 ust. 2” RODO ( 13 ), może być nadal stosowany.

30.

Z tej perspektywy (będącej perspektywą postanowienia odsyłającego) spór rozciąga się na to, czy przepisy państwa członkowskiego przyjęte na podstawie art. 88 ust. 1 RODO, które jednak nie są zgodne z art. 88 ust. 2 RODO, mogą korzystać z ochrony innych przepisów RODO, a w szczególności innych klauzul upoważniających tego rozporządzenia, jak ta z jego art. 6 ust. 2.

31.

Splot dwóch pytań sądu odsyłającego powoduje, że rząd austriacki i Komisja skłaniają ku udzieleniu na nie wspólnej odpowiedzi. Podzielam to podejście i przy nim pozostanę.

32.

Sąd odsyłający wychodzi z założenia, że co się tyczy przepisów krajowych o ochronie danych osobowych, nauczyciele reprezentowani w radzie głównej ds. nauczycieli oraz ministerstwo edukacji i kultury kraju związkowego Hesji pozostają w stosunku pracy.

33.

Założenie to jest spójne z HDSIG, która regulując przetwarzanie danych osobowych pracowników, uznaje za pracowników, na swoje potrzeby, urzędników podlegających HBG, do których zaliczają się nauczyciele.

34.

Dlatego też w żadnym momencie sąd a quo nie kwestionuje możliwości zastosowania art. 88 RODO do pracowników kraju związkowego, którzy wykonują publiczną działalność dydaktyczną.

35.

Również strony i interwenienci uczestniczący w postępowaniu prejudycjalnym, pytani o tę kwestię przez Trybunał, nie podali jej w wątpliwość. Wszyscy zgadzają się, że zatrudnienie w ramach publicznej działalności dydaktycznej nie pozostaje poza zakresem zastosowania art. 88 RODO.

36.

Podejście to wydaje mi się słuszne i można je wykorzystać do analizy zakresu art. 88 RODO, gdy mówi on o „ochronie […] w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem”.

37.

Kategoria pracownika w szerokim znaczeniu obejmuje naturalnie – jak wskazał rząd niemiecki – nauczycieli będących urzędnikami, którzy świadczą pracę na rzecz kraju związkowego i których interesy reprezentuje rada główna ds. nauczycieli.

38.

Orzecznictwo Trybunału dotyczące stosunku pracy ( 14 ) i pojęcia pracowników w związku ze swobodnym przepływem pracowników i niemożnością zastosowania dawnego art. 39 ust. 4 WE (obecnego art. 45 ust. 4 TFUE) do zatrudnienia w administracji publicznej może przez analogię inspirować rozwiązanie, które proponuję.

39.

Zgodnie z tym orzecznictwem, które podkreśla aspekt funkcjonalny wykonywanych zadań:

40.

Wziąwszy pod uwagę, że nauczyciele będący urzędnikami nie uczestniczą, jako tacy, w wykonywaniu władzy publicznej w ścisłym znaczeniu, a prowadzą raczej działalność usługową o charakterze edukacyjnym ( 16 ), podobną do tej, jaka jest wykonywana na rzecz innych podmiotów lub przedsiębiorstw prywatnych, można ich uznać za „pracowników” w ujęciu ogólnym, a tym samym w odniesieniu do dziedziny ochrony danych osobowych.

41.

Inne podejście oznaczałoby, na co zwrócił uwagę rząd austriacki, nierówne traktowanie sytuacji w istocie równoważnych, jakimi są sytuacje, które z merytorycznego punktu widzenia definiują pozycję nauczycieli w ramach zarówno służby publicznej, jak i sektora prywatnego. Byłoby to tym bardziej poważne, że jak wskazuje Komisja, pojęcie usługi publicznej nie jest w Unii zharmonizowane, co powoduje, że w przypadku odmiennych interpretacji zakres zastosowania art. 88 RODO zależałby od prawa krajowego.

42.

Jak podkreślił rzecznik generalny M. Bobek w sprawie Fashion ID ( 17 ), wraz z zastąpieniem dyrektywy 95/46/WE ( 18 ) przez RODO nastąpiła przede wszystkim fundamentalna zmiana charakteru aktu prawnego regulującego ochronę osób fizycznych w zakresie przetwarzania danych osobowych.

43.

Tym aktem nie jest już dyrektywa (czyli akt, który nakłada obowiązek osiągnięcia rezultatu, pozostawiając organom krajowym swobodę wyboru formy i środków), lecz rozporządzenie. To ostatnie, wiążące w całości i bezpośrednio stosowane we wszystkich państwach członkowskich, co do zasady i z wyjątkiem wyraźnego upoważnienia nie zezwala na włączenie jego treści do przepisów krajowych (lub powielenie tej treści) ( 19 ).

44.

Mimo że RODO wykroczyło poza harmonizację, do której dążyła dyrektywa 95/46 ( 20 ), faktyczna powszechność obszarów ludzkiej działalności, w których powstają dane osobowe, których przetwarzanie ma być ochronione ( 21 ), przesądziła o tym, że prawodawca upoważnił państwa członkowskie do:

45.

Chociaż RODO ma na celu zapewnienie spójnego i jednolitego stosowania zasad ochrony w całej Unii oraz usuwanie przeszkód w przepływie danych osobowych w Unii ( 23 ), prawodawca europejski nie mógł nie zauważyć, jak wskazał rzecznik generalny J. Richard de la Tour, że rzeczywistość okazuje się bardziej złożona: pomimo swojej przekrojowości RODO nie mogło uprzedzić wszelkich konsekwencji, jakie ochrona danych osobowych może mieć w dziedzinach takich jak prawo konsumenckie, prawo konkurencji czy prawo pracy ( 24 ).

46.

Wyjaśnia to, dlaczego RODO daje państwom członkowskim możliwość ustanowienia dodatkowych – bardziej restrykcyjnych lub wprowadzających odstępstwa – uregulowań krajowych. Państwa te posiadają pewien zakres uznania co do sposobu, w jaki owe przepisy mogą być wprowadzane w życie („klauzule upoważniające”) ( 25 ).

47.

Względne rozpowszechnienie tego rodzaju klauzul było szkodliwe dla pełnej harmonizacji ochrony danych osobowych ( 26 ). Jak przyznała Komisja, fakt, że RODO nakłada na państwa członkowskie obowiązek stanowienia prawa w niektórych obszarach i daje im możliwość dalszego doprecyzowania w innych, spowodował „pewien stopień fragmentacji, który wynika w szczególności z szerokiego zastosowania opcjonalnych klauzul precyzujących” ( 27 ).

48.

Klauzula, która jest w szczególności istotna dla niniejszej sprawy, jest zawarta w art 88 ust. 1 RODO. Należy jednak pokrótce zbadać jej związek z klauzulą z art. 6 ust. 1 lit. b) i e) tego samego rozporządzenia, czego dokonano na rozprawie.

49.

Artykuł 6, zawarty w rozdziale II RODO, w którym to rozdziale są ujęte „zasady” regulujące przetwarzanie danych osobowych, a tym samym kształtujące ogólną strukturę systemu, w ust. 1 wymienia warunki zgodności przetwarzania z prawem. W szczególności lit. a) tego ostatniego ustępu odnosi się do zgody osoby, której dane dotyczą, a lit. b) do tego, by przetwarzanie było niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą.

50.

Warunki te dołączają się do warunków, które wynikają z zasad ustanowionych w art. 5 RODO w sposób ogólny ( 28 ) i zostają skonkretyzowane w art. 7–11 RODO w odniesieniu do wyrażenia zgody (art. 7, a w odniesieniu do osób małoletnich art. 8), do przetwarzania szczególnych kategorii danych osobowych (art. 9) lub dotyczących wyroków skazujących i czynów zabronionych (art. 10) i do przetwarzania niewymagającego identyfikacji (art. 11).

51.

Do tego zestawu zasad i reguł można dodać „przepisy bardziej szczegółowe” wprowadzone (lub zachowane) przez państwa członkowskie, aby zgodnie z art. 6 ust. 2 RODO „dostosować stosowanie przepisów” RODO w odniesieniu do dwóch konkretnych przetwarzań, gdy to przetwarzanie okazuje się niezbędne do:

52.

To „dostosowanie”, jak dodaje przepis, ma polegać na określeniu „dokładniej […] szczegółow[ych] wymog[ów] przetwarzania i inn[ych] środk[ów] w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności”, również w „innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX”.

53.

Temu ostatniemu wyrażeniu z tego przepisu brakuje należytej jasności, ponieważ nie jest łatwo wywnioskować, czy wynika z niego dopuszczalność – co pragnę podkreślić, w przypadku przetwarzań, o których mowa w art. 6 ust. 1 lit. c) i e) – regulowania sytuacji szczególnych innych niż już wymienione w rozdziale IX, czy też te ostatnie są jedynymi dopuszczonymi przez RODO dla tych dwóch przetwarzań.

54.

W każdym razie, co pragnę powtórzyć, klauzulą upoważniającą istotną w niniejszej sprawie jest klauzula z art. 88 ust. 1 RODO, gdyż na niej skupia się sąd a quo. Przypomnę, że zgodnie z brzmieniem tego przepisu państwa członkowskie mogą zawrzeć w swoich przepisach lub w porozumieniach zbiorowych „bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem”.

55.

Przetwarzanie danych osobowych może odbywać się, w szczególności, w celach:

56.

Udzielenie zgody na wprowadzenie takich przepisów skutkuje pewnym efektem „deharmonizującym”. Przepisy krajowe wydane na podstawie art. 88 ust. 1 RODO mogą pociągać za sobą, dla jednego lub większej liczby państw członkowskich, wprowadzenie różnic w ogólnym systemie RODO wykraczających poza zwykłe „dostosowanie” dozwolone na podstawie art. 6 ust. 2 RODO:

57.

Zgodnie z postanowieniami art. 88 ust. 3 RODO Republika Federalna Niemiec zawiadomiła Komisję, że wśród przepisów przyjętych przez to państwo członkowskie na podstawie art. 88 ust. 1 RODO znajduje się § 23 HDSIG.

58.

Moim zdaniem, zgodnym w tym zakresie ze stanowiskiem sądu odsyłającego i Komisji, § 23 HDSIG nie spełnia wymogu „zaw[arcia] […] bardziej szczegółowych przepisów” dla ochrony praw nieodłącznie związanych z przetwarzaniem danych osobowych w związku z zatrudnieniem, jak stanowi art. 88 ust. 1 RODO.

59.

Zarówno § 23 ust. 1 zdanie pierwsze HDSIG, jak i § 86 ust. 4 zdanie pierwsze HBG ograniczają się do postanowienia, że dane osobowe pracowników i urzędników mogą być przetwarzane do celów związanych ze stosunkiem pracy, jeśli jest to „niezbędne” dla:

60.

Ściśle rzecz biorąc, oba przepisy uzależniają przetwarzanie danych osobowych od samej okoliczności, że jest to niezbędne dla określonych celów.

61.

Nie jest to zatem przepis znacząco różniący się od zawartego w art. 6 ust. 1 lit. b) RODO („przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy […] jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”) ( 32 ).

62.

Paragraf 23 HDSIG powtarzałby zatem warunek już wymagany przez art. 6 ust. 1 lit. b) RODO dla ogólnej zgodności z prawem przetwarzania. Nie dodawałby natomiast żadnej normy szczegółowej dla ochrony praw w kontekście przetwarzania danych osobowych w związku z zatrudnieniem ( 33 ).

63.

Ten sam skutek zostałby osiągnięty, gdyby sporna działalność dydaktyczna wchodziła w zakres art. 6 ust. 1 lit. e) RODO (to znaczy gdyby sporne przetwarzanie było niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej) ( 34 ).

64.

W przypadku lit. c) i e) art. 6 ust. 2 RODO pozwala państwom członkowskim – jak już wskazałem – zachować lub wprowadzić „bardziej szczegółowe przepisy […]; w tym celu mogą [one] dokładniej określić szczegółowe wymogi przetwarzania”.

65.

Pragnę podkreślić, że § 23 HDSIG nie stanowi „bardziej szczegółowego przepisu”, lecz ogranicza się do zezwolenia na przetwarzanie danych pracowników, gdy jest to niezbędne. Nie zmierza tak daleko, by skonkretyzować warunki i tryb tego ewentualnego przetwarzania.

66.

Wbrew temu stanowisku rząd niemiecki utrzymuje, że odzwierciedlenie różnorodności przetwarzania danych w środowisku pracy w sposób szczegółowy byłoby „niemożliwe i niewykonalne”. Jego zdaniem powinien wystarczyć przepis, na którym opierałoby się, w odpowiednim przypadku, przetwarzanie niewymagające bardziej szczegółowej podstawy prawnej ( 35 ).

67.

Na powyższe wystarczy odpowiedzieć, że bez względu na trudności, jakich może to przysporzyć, art. 88 ust. 3 RODO jednoznacznie stanowi, że państwa członkowskie zawiadamiają Komisję o „przepisach przyjętych na mocy ust. 1” tegoż artykułu. To znaczy nie o przepisach stanowiących podstawę do wydania przepisów bardziej szczegółowych, tylko właśnie o tych ostatnich. Zawiadomienia należy dokonać w sposób zindywidualizowany i wyraźny ( 36 ).

68.

Podsumowując: § 23 HDSIG powtarza upoważnienie już zawarte w art. 88 ust. 1 RODO czy też, innymi słowy, otwiera furtkę, która pozwoli na późniejsze ustanowienie (lub zachowanie) przepisów bardziej szczegółowych.

69.

Paragraf 23 HDSIG nie tylko sam z siebie nie ustanawia „przepisów bardziej szczegółowych” w rozumieniu art. 88 ust. 1 RODO, ale także nie obejmuje „odpowiedni[ch] i szczegółow[ych] środk[ów] zapewniając[ych] osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych”.

70.

Pomijając ten rodzaj środków, § 23 nie spełnia wymogu ustanowionego w art. 88 ust. 2 RODO, aby można było zaakceptować odróżniające się przepisy państw członkowskich w zakresie stosunków pracy.

71.

Jako że odesłanie prejudycjalne poprzestaje na analizie przepisów ustawowych, pomijając postanowienia porozumień zbiorowych, nie będę poświęcać uwagi tym ostatnim ( 37 ), lecz jedynie tym pierwszym.

72.

W odniesieniu do tych przepisów ustawodawca krajowy nie może ograniczyć się do postanowienia, jak to jest w przypadku § 23 ust. 5 HDSIG, że administrator musi podjąć odpowiednie środki, aby zapewnić „przestrzeganie zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5” RODO. Przepis ten jest zbędny, jako że jakiekolwiek przetwarzanie danych musi być co do zasady i co najmniej zgodne z wymogami art. 5 RODO.

73.

Artykuł 88 ust. 2 RODO dotyczy ustanowienia środków zapewniających, w zakresie gwarancji, właściwą współmierność ze szczegółowością środków przyjętych zgodnie z art. 88 ust. 1 RODO. Ostatecznym celem jest, by odrębności środków, na którą ten ostatni przepis zezwala, w odpowiednim przypadku należycie odpowiadało stosowne wyszczególnienie odnoszących się do nich gwarancji.

74.

Gdyby przyjąć, że § 23 HDSIG obejmuje przepis szczegółowy zgodnie z art. 88 ust. 1 RODO, powtarzałby on, w odniesieniu do gwarancji wymaganych przez ust. 2 tego ostatniego artykułu, te, które ogólnie przewiduje art. 5 RODO. Krótko mówiąc – zostałaby naruszona niezbędna równowaga między szczegółowością przepisów dozwolonych na mocy art. 88 ust. 1 RODO a szczegółowością środków „zapewnienia”, której wymaga ust. 2 tego artykułu.

75.

Podsumowując: uważam, że § 23 HDSIG nie znajduje podstawy w art. 88 RODO. Z jednej strony z tego powodu, że nie ustanawia przepisów bardziej szczegółowych, z drugiej – ponieważ ogranicza się do powtórzenia ogólnych gwarancji z art. 5 RODO.

76.

Pozostaje ustalić, czy pomimo powyższego § 23 HDSIG może być stosowany w krajowym porządku prawym. Jak już wyżej wskazałem, wydaje się, że właśnie to ostatecznie interesuje sąd odsyłający.

77.

Kwestia ta polegałaby na rozstrzygnięciu, czy przepisy przyjęte przez państwa członkowskie na podstawie klauzuli upoważniającej z art. 88 ust. 1 RODO, które nie spełniają wymagań ust. 2 tego artykułu, mogą być stosowane w oparciu o inne przepisy RODO.

78.

Odpowiedź, u podstaw której leży założenie, że § 23 HDSIG nie obejmuje żadnego „bardziej szczegółowego przepisu” w rozumieniu art. 88 RODO ( 38 ), może zostać udzielona w odniesieniu do dwóch aspektów:

79.

Inną kwestią jest to, że jak zauważyły rządy austriacki i rumuński, a także Komisja, i co wszyscy przyznali na rozprawie, nic nie stoi na przeszkodzie temu, by państwo członkowskie stosowało czy to inne przepisy RODO, czy też, na podstawie art. 6 ust. 2 tego rozporządzenia, przepisy krajowe, które regulują przetwarzanie danych pracowników w sposób przyczyniający się do „dostosowania stosowania” RODO.

80.

W świetle powyższego proponuję, aby Trybunał Sprawiedliwości odpowiedział Verwaltungsgericht Frankfurt am Main (sądowi administracyjnemu we Frankfurcie nad Menem, Niemcy) w następujący sposób:

Artykuł 88 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) należy interpretować w ten sposób, że:

Przepis przyjęty przez państwo członkowskie stanowi przepis bardziej szczegółowy mający zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem tylko wtedy, gdy spełnia wymogi wynikające z art. 88 ust. 2 rozporządzenia 2016/679.

Jeśli przepis ten nie spełnia wymogów wynikających z art. 88 ust. 2 rozporządzenia 2016/679, będzie miał on zastosowanie, w odpowiednim przypadku, tylko w zakresie, w jakim może znaleźć podstawę w innych przepisach tego rozporządzenia lub dostosowujących przepisach krajowych, o których mowa w art. 6 ust. 2 tegoż rozporządzenia.