Cauza C‑534/20

Leistritz AG

împotriva

LH

(cerere de decizie preliminară formulată de Bundesarbeitsgericht)

Hotărârea Curții (Camera întâi) din 22 iunie 2022

„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 38 alineatul (3) a doua teză – Responsabilul cu protecția datelor – Interdicția impusă unui operator sau unei persoane împuternicite de operator de a demite un responsabil cu protecția datelor sau de a‑l sancționa pentru îndeplinirea sarcinilor sale – Temei juridic – Articolul 16 TFUE – Cerința independenței funcționale – Reglementare națională care interzice concedierea unui responsabil cu protecția datelor în lipsa unui motiv grav”

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Responsabil cu protecția datelor – Funcție – Interdicția impusă unui operator sau unei persoane împuternicite de operator de a demite un responsabil cu protecția datelor sau de a‑l sancționa pentru îndeplinirea sarcinilor sale – Reglementare națională care interzice concedierea unui responsabil cu protecția datelor în lipsa unui motiv grav – Concediere care nu este legată de îndeplinirea sarcinilor acestui responsabil – Admisibilitate – Condiție – Respectarea obiectivelor prevăzute de acest regulament

[Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 38 alin. (3) a doua teză]

(a se vedea punctele 21-36 și dispozitivul)

Rezumat

LH exercită, de la 1 februarie 2018, funcția de responsabilă cu protecția datelor în cadrul societății Leistritz AG. Această societate este obligată, în temeiul dreptului german, să desemneze un responsabil cu protecția datelor. În iulie 2018, Leistritz a concediat‑o pe LH cu preaviz, prevalându‑se de o măsură de restructurare a activităților sale, în temeiul căreia serviciul de protecție a datelor era externalizat.

Sesizate de LH, care contesta validitatea concedierii sale, instanțele de fond au hotărât că această concediere era nelegală. Astfel, potrivit dispozițiilor reglementării federale germane, LH, în calitatea sa de responsabilă cu protecția datelor, putea fi concediată fără preaviz numai pentru un motiv grav. Or, restructurarea activităților societății Leistritz nu ar constitui un astfel de motiv.

În urma acțiunii introduse de Leistritz la Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă, Germania), această instanță ridică problema dacă Regulamentul general privind protecția datelor ( 1 ) autorizează o reglementare a unui stat membru care supune concedierea unui responsabil cu protecția datelor unor condiții mai stricte decât cele prevăzute de dreptul Uniunii.

Prin hotărârea sa, Curtea statuează că articolul 38 alineatul (3) a doua teză din RGPD ( 2 ) nu se opune unei reglementări naționale care prevede că un operator sau o persoană împuternicită de operator poate concedia un responsabil cu protecția datelor care este membru al personalului său numai pentru un motiv grav. Acest raționament este aplicabil chiar dacă concedierea nu are legătură cu îndeplinirea sarcinilor acestui responsabil, în măsura în care o astfel de reglementare nu compromite atingerea obiectivelor RGPD.

Aprecierea Curții

În primul rând, Curtea subliniază că, în conformitate cu articolul 38 alineatul (3) a doua teză din RGPD, interdicția impusă operatorului sau persoanei împuternicite de operator de a demite responsabilul cu protecția datelor din funcție sau de a‑l sancționa înseamnă că acest responsabil trebuie protejat împotriva oricărei decizii prin care i‑ar înceta funcția, prin care ar suferi un dezavantaj sau care ar constitui o sancțiune. Astfel, o măsură de concediere a unui responsabil cu protecția datelor care ar fi luată de angajatorul său și care ar pune capăt raportului de muncă existent între acest responsabil și respectivul angajator poate constitui o astfel de decizie. În ceea ce privește acest raport de muncă, Curtea precizează că articolul 38 alineatul (3) a doua teză din RGPD se aplică atât responsabilului cu protecția datelor care este membru al personalului operatorului sau al persoanei împuternicite de operator, cât și celui care își exercită sarcinile pe baza unui contract de prestări de servicii încheiat cu aceștia din urmă. Această dispoziție are, așadar, vocația de a se aplica raporturilor dintre un responsabil cu protecția datelor și un operator sau o persoană împuternicită de operator, indiferent de natura raportului de muncă dintre respectivul responsabil și aceștia. În plus, aceeași dispoziție stabilește o limită care constă în a interzice concedierea unui responsabil cu protecția datelor pentru un motiv întemeiat pe îndeplinirea sarcinilor sale ( 3 ).

În ceea ce privește, în al doilea rând, obiectivul urmărit de articolul 38 alineatul (3) a doua teză din RGPD, acest regulament ( 4 ) prevede că responsabilii cu protecția datelor, indiferent dacă sunt sau nu sunt angajați ai operatorului, ar trebui să fie în măsură să își exercite atribuțiile și sarcinile în mod independent, în conformitate cu obiectivul RGPD ( 5 ). Astfel, obiectivul care urmărește să garanteze independența funcțională a responsabilului cu protecția datelor ( 6 ) presupune că acesta nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale, că răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator și că are obligația de a respecta secretul sau confidențialitatea. Prin urmare, articolul 38 alineatul (3) a doua teză din RGPD urmărește să protejeze independența responsabilului cu protecția datelor, în măsura în care această dispoziție îl protejează împotriva oricărei decizii în legătură cu sarcinile sale prin care acestea ar înceta, prin care ar suferi un dezavantaj sau care ar constitui o sancțiune. Totuși, această dispoziție nu urmărește reglementarea globală a raporturilor de muncă dintre un operator sau o persoană împuternicită de operator și membrii personalului său.

În ceea ce privește, în al treilea și ultimul rând, contextul în care se înscrie articolul 38 alineatul (3) a doua teză din RGPD, Curtea precizează că, în afara protecției specifice a responsabilului cu protecția datelor prevăzute la această dispoziție, protecția împotriva concedierii unui responsabil cu protecția datelor angajat de un operator sau de o persoană împuternicită de operator nu ține de normele care pot fi adoptate în temeiul RGPD ( 7 ), ci de domeniul politicii sociale. Or, Uniunea și statele membre dispun de o competență partajată ( 8 ) în acest domeniu. Astfel, Uniunea susține și completează acțiunea statelor membre în domeniul protecției lucrătorilor în caz de reziliere a contractului de muncă, adoptând recomandări minime în acest sens. Prin urmare, fiecare stat membru este liber, în exercitarea competenței care îi este rezervată, să prevadă dispoziții speciale mai protective în materie de concediere a responsabilului cu protecția datelor, cu condiția ca aceste dispoziții să fie compatibile cu dispozițiile RGPD. În special, o asemenea protecție sporită nu trebuie să compromită atingerea obiectivelor RGPD. Or, aceasta s‑ar întâmpla dacă dispozițiile speciale ar împiedica orice concediere de către un operator sau de către o persoană împuternicită a unui responsabil cu protecția datelor care nu ar mai avea calitățile profesionale necesare pentru a‑și îndeplini sarcinile sau care nu le‑ar îndeplini în conformitate cu dispozițiile RGPD.

( 1 ) A se vedea printre altele articolul 38 alineatul (3) a doua teză din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”).

( 2 ) În temeiul articolului 38 alineatul (3) a doua teză din RGPD, responsabilul cu protecția datelor nu este demis sau sancționat de operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale.

( 3 ) În temeiul articolului 39 alineatul (1) litera (b) din RGPD, aceste sarcini includ, în special, monitorizarea respectării dispozițiilor de drept al Uniunii sau de drept intern referitoare la protecția datelor, precum și a politicilor operatorului sau ale persoanei împuternicite de operator în ceea ce privește protecția datelor cu caracter personal.

( 4 ) În special considerentul (97) al RGPD.

( 5 ) RGPD, astfel cum reiese din considerentul (10) al acestuia, urmărește printre altele să asigure un nivel ridicat de protecție a persoanelor fizice în cadrul Uniunii.

( 6 ) Astfel cum rezultă din articolul 38 alineatul (3) prima, a doua și a treia teză, precum și din articolul 38 alineatul (5) din RGPD.

( 7 ) Articolul 16 alineatul (2) TFUE, temei juridic al RGPD, permite adoptarea de norme privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestora.

( 8 ) În temeiul articolului 4 alineatul (2) litera (b) TFUE.