CONCLUZIILE AVOCATULUI GENERAL
DOMNUL JEAN RICHARD DE LA TOUR
prezentate la 27 ianuarie 2022 ( 1 )
Cauza C‑534/20
Leistritz AG
împotriva
LH
[cerere de decizie preliminară formulată de Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă, Germania)]
„Trimitere preliminară – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul (UE) 2016/679 – Articolul 38 alineatul (3) a doua teză – Responsabil cu protecția datelor – Interzicerea demiterii pentru îndeplinirea sarcinilor sale – Temei juridic – Articolul 16 TFUE – Validitate – Cerința independenței funcționale – Întinderea armonizării – Reglementare națională care interzice concedierea unui responsabil cu protecția datelor în lipsa unui motiv grav – Responsabil cu protecția datelor desemnat în mod obligatoriu în temeiul dreptului național”
I. Introducere
|
1. |
Cererea de decizie preliminară formulată de Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă, Germania) privește interpretarea și validitatea articolului 38 alineatul (3) a doua teză din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) ( 2 ). |
|
2. |
Această cerere a fost formulată în cadrul unui litigiu între LH, pe de o parte, și angajatorul său, Leistritz AG, pe de altă parte, în legătură cu încetarea contractului său de muncă motivată de o reorganizare a serviciilor acesteia, în condițiile în care, potrivit legii germane aplicabile, LH poate fi concediată numai pentru motive grave, fără respectarea termenului de preaviz ca urmare a desemnării sale ca responsabilă cu protecția datelor. |
|
3. |
În prezentele concluzii, vom expune motivele pentru care considerăm că interzicerea demiterii responsabilului cu protecția datelor, prevăzută la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679, nu rezultă dintr‑o armonizare a normelor materiale de drept al muncii, ceea ce lasă statelor membre posibilitatea de a consolida protecția acestui responsabil în reglementările lor naționale în diferite domenii, în conformitate cu obiectivul urmărit de regulamentul menționat. |
II. Cadrul juridic
A. Regulamentul 2016/679
|
4. |
Considerentele (10), (13) și (97) ale Regulamentului 2016/679 enunță:
[…]
[…]
|
|
5. |
Articolul 1 din acest regulament, intitulat „Obiect și obiective”, prevede la alineatul (1): „Prezentul regulament stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și normele referitoare la libera circulație a datelor cu caracter personal.” |
|
6. |
Articolul 37 din regulamentul menționat, intitulat „Desemnarea responsabilului cu protecția datelor”, prevede la alineatele (1) și (4)-(6): „(1) Operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor ori de câte ori:
[…] (4) În alte cazuri decât cele menționate la alineatul (1), operatorul sau persoana împuternicită de operator ori asociațiile și alte organisme care reprezintă categorii de operatori sau de persoane împuternicite de operatori pot desemna sau, acolo unde dreptul Uniunii sau dreptul intern solicită acest lucru, desemnează un responsabil cu protecția datelor. Responsabilul cu protecția datelor poate să acționeze în favoarea unor astfel de asociații și alte organisme care reprezintă operatori sau persoane împuternicite de operatori. (5) Responsabilul cu protecția datelor este desemnat pe baza calităților profesionale și, în special, a cunoștințelor de specialitate în dreptul și practicile din domeniul protecției datelor, precum și pe baza capacității de a îndeplini sarcinile prevăzute la articolul 39. (6) Responsabilul cu protecția datelor poate fi un membru al personalului operatorului sau persoanei împuternicite de operator sau poate să își îndeplinească sarcinile în baza unui contract de servicii.” |
|
7. |
Articolul 38 din același regulament, intitulat „Funcția responsabilului cu protecția datelor”, prevede: „(1) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor este implicat în mod corespunzător și în timp util în toate aspectele legate de protecția datelor cu caracter personal. […] (3) Operatorul și persoana împuternicită de operator se asigură că responsabilul cu protecția datelor nu primește niciun fel de instrucțiuni în ceea ce privește îndeplinirea acestor sarcini. Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator. (4) Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la toate chestiunile legate de prelucrarea datelor lor și la exercitarea drepturilor lor în temeiul prezentului regulament. (5) Responsabilul cu protecția datelor are obligația de a respecta secretul sau confidențialitatea în ceea ce privește îndeplinirea sarcinilor sale, în conformitate cu dreptul Uniunii sau cu dreptul intern. (6) Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu generează un conflict de interese.” |
|
8. |
Articolul 39 din Regulamentul 2016/679 prevede principalele sarcini ale responsabilului cu protecția datelor. |
B. Dreptul german
|
9. |
Articolul 6 din Bundesdatenschutzgesetz (Legea federală privind protecția datelor) din 20 decembrie 1990 ( 3 ), în versiunea sa în vigoare de la 25 mai 2018 la 25 noiembrie 2019 ( 4 ), intitulat „Postul ocupat”, prevede la alineatul (4): „Revocarea responsabilului cu protecția datelor este autorizată numai cu aplicarea prin analogie a articolului 626 din Bürgerliches Gesetzbuch (Codul civil). Rezilierea raportului de muncă este interzisă, cu excepția cazului în care există elemente de fapt care îndreptățesc autoritatea publică să procedeze la concediere pentru un motiv grav, fără respectarea unui termen de preaviz. După sfârșitul activității în calitate de responsabil cu protecția datelor, rezilierea raportului de muncă este interzisă pentru o durată de un an, cu excepția cazului în care autoritatea publică este îndreptățită să procedeze la concedierea pentru un motiv grav, fără respectarea unui termen de preaviz.” |
|
10. |
Articolul 38 din BDSG, intitulat „Responsabil cu protecția datelor al unor entități private”, prevede: „(1) În completarea articolului 37 alineatul (1) literele (b) și (c) din Regulamentul […] 2016/679, operatorul și persoana împuternicită de operator desemnează un responsabil cu protecția datelor, dacă aceștia au în permanență, în mod obișnuit, cel puțin 10 angajați[ ( 5 )] pentru prelucrarea automată a datelor cu caracter personal. […] (2) Dispozițiile articolului 6 alineatul (4), alineatul (5) a doua teză și alineatul (6) nu se aplică decât atunci când desemnarea unui responsabil cu protecția datelor este obligatorie.” |
|
11. |
Articolul 134 din Codul civil, în versiunea publicată la 2 ianuarie 2002 ( 6 ), intitulat „Interdicție legală”, are următorul cuprins: „Un act juridic care încalcă o interdicție stabilită de lege este nul atunci când legea nu prevede altfel.” |
|
12. |
Articolul 626 din acest cod, intitulat „Reziliere pentru un motiv grav fără preaviz”, prevede: „(1) Contractul de muncă poate fi reziliat de orice parte contractantă pentru un motiv grav, fără a respecta un termen de preaviz, dacă există elemente de fapt pe baza cărora, ținând seama de toate împrejurările speței și prin evaluarea comparativă a intereselor celor două părți contractante, nu se poate impune ca partea care reziliază să continue raportul de muncă până la expirarea termenului de preaviz sau până la încetarea convenită a raportului de muncă. (2) Rezilierea poate avea loc numai în termen de două săptămâni. Termenul începe să curgă din momentul în care partea autorizată să rezilieze contractul a luat cunoștință de faptele pertinente pentru reziliere […]” |
III. Litigiul principal și întrebările preliminare
|
13. |
Leistritz este o întreprindere de drept privat, obligată să desemneze un responsabil cu protecția datelor în temeiul dreptului german. LH a exercitat la această întreprindere funcțiile de șefă a serviciului juridic și de responsabilă internă cu protecția datelor începând cu 15 ianuarie 2018 și, respectiv, cu 1 februarie 2018. |
|
14. |
Prin scrisoarea din 13 iulie 2018, Leistritz a concediat‑o pe LH cu preaviz începând cu 15 august 2018, prevalându‑se de o măsură de restructurare a întreprinderii, în cadrul căreia activitatea internă de consiliere juridică și serviciul de protecție a datelor au fost externalizate. |
|
15. |
Instanțele de fond sesizate de LH cu contestarea validității concedierii sale au hotărât că, în conformitate cu articolul 38 alineatul (2) coroborat cu articolul 6 alineatul (4) a doua teză din BDSG, în calitate de responsabilă cu protecția datelor, LH poate fi concediată fără preaviz numai pentru un motiv grav. Or, măsura de restructurare descrisă de Leistritz nu constituie un motiv grav pentru o concediere fără preaviz. |
|
16. |
Instanța de trimitere, sesizată cu recursul formulat de Leistritz, arată că, potrivit dreptului german, concedierea lui LH este nulă, în temeiul acestor dispoziții și al articolului 134 din Codul civil ( 7 ). Ea arată însă că aplicabilitatea unor asemenea dispoziții depinde de aspectul dacă dreptul Uniunii, în special articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679, autorizează o reglementare a unui stat membru care supune rezilierea raportului de muncă al unui responsabil cu protecția datelor unor condiții mai stricte decât cele prevăzute de dreptul Uniunii. Dacă acest lucru nu ar fi valabil, i‑ar reveni obligația de a admite recursul. |
|
17. |
În aceste condiții, Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
|
|
18. |
LH, Leistritz, guvernele german și român, precum și Parlamentul European, Consiliul Uniunii Europene și Comisia Europeană au depus observații scrise. Aceste părți, cu excepția guvernelor german și român, au prezentat observații orale în ședința care a avut loc la 18 noiembrie 2021. |
IV. Analiză
A. Cu privire la prima întrebare preliminară
|
19. |
Prin intermediul primei întrebări, instanța de trimitere solicită în esență Curții să stabilească dacă articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 trebuie interpretat în sensul că se opune unei reglementări naționale care prevede că angajatorul unui responsabil cu protecția datelor îl poate concedia numai pentru un motiv grav, chiar dacă concedierea nu are legătură cu îndeplinirea sarcinilor de către acest responsabil. |
|
20. |
Răspunsul la această întrebare presupune să se precizeze, în primul rând, ceea ce acoperă expresia „demis […] pentru îndeplinirea sarcinilor sale”, utilizată de legiuitorul Uniunii la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679. În al doilea rând, va trebui să se stabilească dacă statele membre au posibilitatea de a extinde garanțiile de care beneficiază responsabilul cu protecția datelor în temeiul acestei dispoziții. |
1. Cu privire la protecția responsabilului cu protecția datelor prevăzută la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679
|
21. |
Articolul 38 din Regulamentul 2016/679 figurează în capitolul IV din acest regulament, referitor la „[o]peratorul și persoana împuternicită de operator”, în special în cadrul secțiunii 4, intitulată „Responsabilul cu protecția datelor”. Această secțiune conține trei articole referitoare la desemnarea responsabilului cu protecția datelor ( 8 ), funcția sa ( 9 ) și, respectiv, sarcinile sale, care constau în esență în oferirea de consiliere personală cu privire la prelucrarea datelor și monitorizarea respectării normelor de protecție a datelor ( 10 ). |
|
22. |
Pentru interpretarea articolului 38 alineatul (3) a doua teză din Regulamentul 2016/679, este necesar, potrivit jurisprudenței constante a Curții, să se țină seama nu numai de formularea acestei dispoziții, ci și de contextul ei și de obiectivele urmărite de reglementarea din care face parte dispoziția menționată ( 11 ). |
|
23. |
În ceea ce privește modul de redactare a articolului 38 alineatul (3) a doua teză din Regulamentul 2016/679, observăm că acesta exprimă o obligație în termeni negativi. Într‑adevăr, articolul menționat prevede că „[responsabilul cu protecția datelor] nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale” ( 12 ). |
|
24. |
Astfel, această dispoziție stabilește perimetrul protecției responsabilului cu protecția datelor. El este protejat, pe de o parte, împotriva oricărei decizii care ar pune capăt atribuțiilor sale sau i‑ar crea un dezavantaj atunci când, pe de altă parte, o asemenea decizie ar avea legătură cu îndeplinirea sarcinilor sale. |
|
25. |
În ceea ce privește distincția dintre măsura de demitere a responsabilului cu protecția datelor și cea care îl sancționează, constatăm, în primul rând, că nicio dispoziție din Regulamentul 2016/679 nu definește în mod expres sau implicit aceste măsuri ( 13 ). |
|
26. |
În urma examinării comparative a altor versiuni lingvistice, se poate considera că două tipuri de măsuri sunt prevăzute la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679, și anume cele care pun capăt atribuțiilor responsabilului cu protecția datelor, precum și cele care constituie sancțiuni sau defavorizează acest responsabil, indiferent de cadrul lor. Prin urmare, definițiile respective pot acoperi concedierile prin care angajatorul pune capăt unui contract de muncă ( 14 ). |
|
27. |
Rezultatele cercetărilor privind istoricul legislativ al articolului 38 din Regulamentul 2016/679 la care am putut avea acces nu permit, în lipsa unor elemente detaliate, să fie clarificate intențiile precise ale legiuitorului Uniunii în ceea ce privește domeniul de aplicare al termenului „demis”. Se poate constata numai că adăugarea redacțională referitoare la demitere a intervenit cu întârziere în procesul legislativ ( 15 ) în cursul căruia, în mod concomitent, a fost eliminată partea tezei următoare, care figura după „Operatorul sau persoana împuternicită de operator se asigură că responsabilul cu protecția datelor”: „poate să acționeze în mod independent în ceea ce privește îndeplinirea sarcinilor sale” ( 16 ). S‑ar putea deduce de aici că acest legiuitor a urmărit să concretizeze obligația de a nu demite responsabilul cu protecția datelor pentru îndeplinirea misiunilor sale. |
|
28. |
Observăm de asemenea că legiuitorul Uniunii a ales să reproducă în același mod textul articolului 38 alineatul (3) a doua teză din Regulamentul 2016/679 la articolul 44 alineatul (3) a doua teză din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE ( 17 ). Totuși, nu se poate deduce nicio precizare din documentele referitoare la elaborarea Regulamentului 2018/1725, fapt justificat, în opinia noastră, de adăugarea, la articolul 44 alineatul (8), a unei alte garanții esențiale oferite responsabilului cu protecția datelor, și anume că „nu poate fi eliberat din funcția de responsabil cu protecția datelor de către instituția sau organul Uniunii care l‑a desemnat, dacă nu mai îndeplinește condițiile necesare pentru exercitarea atribuțiilor sale, decât cu acordul Autorității Europene pentru Protecția Datelor”. |
|
29. |
În al doilea rând, subliniem că nu se face nicio distincție la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 după cum responsabilul cu protecția datelor este sau nu un membru al personalului operatorului sau al persoanei împuternicite de operator ( 18 ). De fapt, acest regulament nu conține nicio dispoziție referitoare la interdependența dintre deciziile care ar fi luate de angajator în cadrul raportului de muncă și cele referitoare la atribuțiile acestui responsabil. Singura limită stabilită privește motivul pentru care nu se poate pune capăt atribuțiilor responsabilului cu protecția datelor, și anume orice motiv întemeiat pe îndeplinirea misiunilor sale. |
|
30. |
În ceea ce privește obiectivul urmărit de legiuitorul Uniunii, acesta justifică formularea în termeni generali a articolului 38 alineatul (3) a doua teză din Regulamentul 2016/679, precum și alegerea acestei limite. |
|
31. |
Astfel, se precizează în proiectul de expunere de motive Consiliului că desemnarea unui responsabil cu protecția datelor urmărește să îmbunătățească respectarea Regulamentului 2016/679 ( 19 ). Acesta este motivul pentru care articolul 38 alineatul (3) a doua teză din regulamentul menționat stabilește obligații de natură să garanteze independența acestui responsabil. Astfel, în același articol, se prevede că responsabilul cu protecția datelor nu trebuie să primească niciun fel de instrucțiuni în ceea ce privește îndeplinirea sarcinilor sale și trebuie să răspundă direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator ( 20 ). Acesta are de asemenea obligația de a respecta secretul sau confidențialitatea ( 21 ). |
|
32. |
Accentul este, așadar, pus pe rigoarea încadrării atribuțiilor responsabilului cu protecția datelor, care este justificată în mod special atunci când acest responsabil este desemnat de un operator care este angajatorul său. Prin urmare, prin interdicția prevăzută la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 sunt garantate prerogativele de care beneficiază respectivul responsabil pentru îndeplinirea sarcinilor sale, care pot, în anumite cazuri, să fie dificil de conciliat cu cele care au fost stabilite de angajator în cadrul raportului de muncă. |
|
33. |
Analiza potrivit căreia această dispoziție are ca unic obiect organizarea îndeplinirii în mod independent a atribuțiilor responsabilului cu protecția datelor se coroborează cu contextul în care a fost adoptată. |
|
34. |
În această privință, trebuie subliniat că Regulamentul 2016/679 are ca obiect, potrivit articolului 1, stabilirea normelor referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal, precum și a normelor referitoare la libera circulație a datelor cu caracter personal. Astfel, acesta a fost adoptat în temeiul articolului 16 alineatul (2) TFUE ( 22 ), ceea ce conduce la a se considera, după cum am arătat deja în concluzii anterioare, că, deși protecția datelor cu caracter personal este, prin natura sa, transversală, armonizarea efectuată de acest regulament se limitează la aspectele acoperite în mod specific de regulamentul menționat în acest domeniu ( 23 ). |
|
35. |
Pentru toate aceste motive, nu există nicio îndoială, în opinia noastră, că protecția specifică a responsabilului cu protecția datelor, prevăzută la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679, este specifică obiectului acestui regulament, întrucât vine să consolideze autonomia responsabilului respectiv. Aceasta nu se înscrie, așadar, în domeniul de aplicare mai larg al protecției lucrătorilor ( 24 ). |
|
36. |
În consecință, se pune din nou problema dacă, în afara aspectelor acoperite în mod specific de Regulamentul 2016/679, statele membre rămân libere să legifereze, în măsura în care nu aduc atingere conținutului și obiectivelor acestui regulament ( 25 ). |
2. Cu privire la posibilitatea statelor membre de a extinde garanțiile oferite responsabilului cu protecția datelor de articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679
|
37. |
În opinia noastră, obiectivul Regulamentului 2016/679 enunțat în considerentul (13) al acestuia, în temeiul căruia legiuitorul Uniunii garantează independența responsabilului cu protecția datelor în termeni generali la articolul 38 alineatul (3) a doua teză din regulamentul menționat ( 26 ), justifică faptul că orice altă măsură care urmărește consolidarea autonomiei acestui responsabil în îndeplinirea sarcinilor sale trebuie să poată fi luată de un stat membru. |
|
38. |
Această analiză nu este în contradicție cu efectele unui regulament, astfel cum sunt definite la articolul 288 al doilea paragraf TFUE, nici cu obligația subsecventă a statelor membre de a nu deroga de la un regulament obligatoriu în toate elementele sale și direct aplicabil sau de a‑l completa, cu excepția cazului în care dispoziții ale acestui regulament recunosc statelor membre o marjă de manevră care trebuie sau poate, după caz, să fie utilizată de acestea din urmă în condițiile și limitele prevăzute de dispozițiile menționate ( 27 ). |
|
39. |
În consecință, reiterăm opinia noastră potrivit căreia întinderea armonizării realizate prin Regulamentul 2016/679 variază în funcție de dispozițiile avute în vedere. Prin urmare, stabilirea domeniului de aplicare normativ al regulamentului menționat impune o examinare de la caz la caz ( 28 ). |
|
40. |
În această privință, observăm că articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 se referă la demiterea responsabilului cu protecția datelor în măsura în care are legătură numai cu îndeplinirea sarcinilor sale, care se prezumă corect ( 29 ), sub formă de interdicție, fără a introduce un nivel de gravitate a motivului invocat sau fără a avea în vedere diversele aspecte ale legăturii de subordonare cu angajatorul său susceptibile să aibă un efect asupra desemnării sale. Astfel, nu au fost avute în vedere, de exemplu, durata contractului de muncă sau motivul personal ori economic al încetării acestuia, care poate fi eventual negociată, sau chiar suspendarea raportului de muncă din motive de boală, de formare, de concediu anual sau de lungă durată. |
|
41. |
Pe de altă parte, intenția legiuitorului Uniunii de a lăsa statelor membre sarcina de a completa dispozițiile de protecție a independenței responsabilului cu protecția datelor pe baza unui cadru legislativ minim referitor la îndeplinirea sarcinilor acestuia, definit în funcție de obiectivele Regulamentului 2016/679, se manifestă de asemenea prin lipsa unei prevederi referitoare la durata mandatului acestui responsabil – contrar celor prevăzute la articolul 44 alineatul (8) prima teză din Regulamentul 2018/1725 ( 30 ) – sau referitoare la cazul, precum în speță, al reorganizării unei întreprinderi care are ca efect externalizarea funcției responsabilului cu protecția datelor pentru motive care nu au legătură cu îndeplinirea sarcinii sale. |
|
42. |
În consecință, statele membre pot decide să consolideze independența responsabilului cu protecția datelor, întrucât participă la punerea în aplicare a obiectivelor Regulamentului 2016/679, în special în materie de concediere, din moment ce nu există nicio dispoziție în dreptul Uniunii care să poată servi drept temei pentru o protecție specială și concretă a acestuia împotriva concedierii pentru un motiv independent de îndeplinirea sarcinilor sale, în condițiile în care încetarea raportului de muncă are în mod necesar ca efect încetarea acestora. |
|
43. |
În această privință, trebuie amintit că, în domeniul protecției lucrătorilor, în cazul rezilierii contractului de muncă, articolul 153 alineatul (1) litera (d) TFUE precizează că Uniunea susține și completează acțiunea statelor membre și, mai general, în domeniul politicii sociale, Uniunea și statele membre dispun, în temeiul articolului 4 alineatul (2) litera (b) TFUE, pentru aspectele definite în Tratatul FUE, de o competență partajată, în sensul articolului 2 alineatul (2) TFUE. |
|
44. |
În aceste împrejurări, fiecare stat membru este liber să prevadă dispoziții speciale în materie de concediere a responsabilului cu protecția datelor, cu condiția ca dispozițiile menționate să fie compatibile cu regimul de protecție a acestuia prevăzut de Regulamentul 2016/679 ( 31 ). |
|
45. |
Astfel cum rezultă din examinarea succintă a reglementării statelor membre pe care am putut să o consultăm ( 32 ), cea mai mare parte dintre ele nu au adoptat dispoziții speciale referitoare la concediere, limitându‑se la interdicția prevăzută la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679, direct aplicabil ( 33 ). |
|
46. |
Cu toate acestea, alte state membre au ales să completeze articolul menționat ( 34 ). |
|
47. |
În această privință, observăm că grupul de lucru „Articolul 29” a considerat că, „[î]n cadrul unei gestionări normale și după cum este cazul pentru orice alt angajat sau persoană împuternicită de operator în conformitate cu dreptul contractelor sau cu dreptul muncii și cu dreptul penal aplicabile la nivel național, și în funcție de condițiile care sunt stabilite în acesta, un [responsabil cu protecția datelor] va putea fi concediat întotdeauna în mod legitim pentru alte motive decât îndeplinirea sarcinilor sale de [responsabil cu protecția datelor] (de exemplu, în caz de furt, de hărțuire fizică, psihică sau sexuală sau de alte abateri grave similare)” ( 35 ). |
|
48. |
Indiferent de alegerea statelor membre, organul administrativ sau jurisdicțional din fiecare dintre acestea însărcinat să controleze legalitatea motivului de demitere a responsabilului cu protecția datelor contribuie de asemenea, în opinia noastră, la garantarea independenței acestui responsabil. |
|
49. |
Astfel, din moment ce este foarte probabil ca legătura cu îndeplinirea satisfăcătoare a sarcinilor responsabilului cu protecția datelor să nu rezulte în mod expres din decizia de a‑l demite ( 36 ), se poate concepe o protecție generală întemeiată exclusiv pe calitatea de responsabil cu protecția datelor. În speță, din explicațiile instanței de trimitere rezultă că noțiunea de „motiv grav”, astfel cum este interpretată în dreptul german, conduce la considerarea, din motive de protecție suplimentară, că nu se poate pune capăt atribuțiilor responsabilului cu protecția datelor în caz de restructurare ( 37 ). În același sens, s‑ar putea considera de altfel că, în cazul unor dificultăți economice ale întreprinderii care are obligația de a desemna un responsabil cu protecția datelor și l‑a ales în acest scop pe unul dintre salariații săi, sarcinile acestuia ar trebui, din cauza obiectivului Regulamentului 2016/679 și a contribuției unui asemenea responsabil la atingerea acestuia, să continue să fie îndeplinite atât timp cât continuă activitatea angajatorului. |
|
50. |
Cu toate acestea, interdicția prevăzută la articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 are în mod necesar limite în cazul unor disfuncționalități obiective în îndeplinirea sarcinilor responsabilului cu protecția datelor având în vedere obligațiile sale. Aceste limite trebuie stabilite în conformitate cu obiectivul urmărit de regulamentul menționat ( 38 ). |
|
51. |
Astfel, o interpretare în aceeași măsură conformă cu obiectivul Regulamentului 2016/679 trebuie să conducă, în opinia noastră, la a admite că un responsabil cu protecția datelor poate fi demis atunci când nu mai îndeplinește criteriile calitative necesare pentru îndeplinirea sarcinilor sale, precum cele prevăzute la articolul 37 alineatul (5) din acest regulament, sau nu îndeplinește obligațiile stabilite la articolul 38 alineatul (3) prima și a treia teză, precum și la articolul 38 alineatele (5) și (6) din regulamentul menționat ( 39 ) sau chiar atunci când nivelul său de expertiză se dovedește insuficient ( 40 ). |
|
52. |
În consecință, considerăm că articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 trebuie interpretat în sensul că nu se opune unei reglementări naționale care prevede că angajatorul unui responsabil cu protecția datelor îl poate concedia numai pentru un motiv grav, chiar dacă concedierea nu are legătură cu îndeplinirea sarcinilor acestui responsabil. |
|
53. |
În cazul în care Curtea nu ar fi însă de acord cu această opinie și ar hotărî să răspundă afirmativ la prima întrebare a instanței de trimitere, ar trebui să se răspundă la celelalte două întrebări preliminare. |
B. Cu privire la a doua întrebare preliminară
|
54. |
Prin intermediul celei de a doua întrebări, instanța de trimitere urmărește să afle dacă articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 se opune unei reglementări naționale care interzice concedierea responsabilului cu protecția datelor de către angajatorul său în lipsa unui motiv grav, chiar dacă această concediere nu are legătură cu îndeplinirea sarcinilor sale, atunci când desemnarea responsabilului cu protecția datelor nu este obligatorie în temeiul articolului 37 alineatul (1) din acest regulament, ci numai în temeiul dreptului național, astfel cum prevede articolul 37 alineatul (4) din regulamentul menționat. |
|
55. |
Observăm că nici articolul 38 alineatul (3) din Regulamentul 2016/679, nici celelalte dispoziții ale secțiunii 4 din acest regulament, referitoare la responsabilul cu protecția datelor, nu fac distincție după cum desemnarea acestui responsabil este obligatorie sau facultativă. |
|
56. |
În consecință, considerăm că trebuie să se răspundă instanței de trimitere că articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 se aplică fără a fi necesar să se facă distincție după cum responsabilul cu protecția datelor este desemnat în mod obligatoriu în temeiul dreptului Uniunii sau în temeiul dreptului național. |
C. Cu privire la a treia întrebare preliminară
|
57. |
Prin intermediul celei de a treia întrebări, instanța de trimitere ridică problema validității articolului 38 alineatul (3) a doua teză din Regulamentul 2016/679 și în special a aspectului dacă această dispoziție are un temei juridic suficient, în special în măsura în care vizează responsabilii cu protecția datelor care au un contract de muncă cu operatorul. |
|
58. |
Propunem Curții să considere că articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 are un temei juridic suficient, în măsura în care are ca obiect numai protejarea responsabilului cu protecția datelor împotriva oricărui obstacol în îndeplinirea sarcinilor sale și această garanție, fără a ține seama de existența unui raport de muncă, contribuie la realizarea efectivă a obiectivelor regulamentului menționat. |
|
59. |
Astfel, pe de o parte, după cum am arătat în cadrul analizei primei întrebări preliminare ( 41 ), articolul 16 TFUE constituie temeiul juridic pe care se întemeiază regulamentul menționat. În plus, Curtea a statuat că acest articol constituie, fără a aduce atingere articolului 39 TUE, un temei juridic adecvat atunci când protecția datelor cu caracter personal este una dintre finalitățile sau componentele esențiale ale normelor adoptate de legiuitorul Uniunii ( 42 ). |
|
60. |
Pe de altă parte, una dintre aceste condiții este, în opinia noastră, pe deplin îndeplinită în ceea ce privește rolul responsabilului cu protecția datelor și încadrarea sa, astfel cum sunt definite de Regulamentul 2016/679. Garantarea independenței funcționale a acestui responsabil, care urmărește să îndeplinească cerința asigurării, la un nivel ridicat, a respectării drepturilor fundamentale ale persoanelor vizate de prelucrarea datelor cu caracter personal ( 43 ), se reflectă la articolul 38 alineatul (3) a doua teză din acest regulament prin enunțarea unei interdicții de a pune capăt atribuțiilor sale pentru motive inerente sarcinilor sale. Întrucât această dispoziție nu impune vreo armonizare în dreptul muncii, legiuitorul Uniunii nu a depășit competențele normative care i‑au fost conferite la articolul 16 alineatul (2) TFUE. |
|
61. |
În ceea ce privește respectarea principiilor subsidiarității și proporționalității, problemă pe care o ridică de asemenea instanța de trimitere, subliniem, în primul rând, că intensificarea prelucrării transfrontaliere a datelor cu caracter personal justifică punerea în aplicare a protecției acestora la nivelul Uniunii în raport cu drepturile fundamentale ( 44 ), garantând în special prerogativele responsabilului cu protecția datelor avut în vedere ca un „actor‑cheie” al acestei protecții ( 45 ). În al doilea rând, considerăm că articolul 38 alineatul (3) a doua teză din Regulamentul 2016/679 nu depășește ceea ce este necesar pentru a garanta independența funcțională a acestui responsabil. Desigur, garanția de a nu fi demis, prevăzută de dispoziția menționată, are în mod necesar un impact asupra raportului de muncă. Totuși, această incidență nu urmărește decât să păstreze efectul util al funcției responsabilului cu protecția datelor. |
|
62. |
În consecință, considerăm că trebuie să se răspundă instanței de trimitere că examinarea celei de a treia întrebări preliminare nu a evidențiat niciun element de natură să afecteze validitatea articolului 38 alineatul (3) a doua teză din Regulamentul 2016/679. |
V. Concluzie
|
63. |
Având în vedere ansamblul considerațiilor care precedă, propunem Curții să răspundă la întrebările preliminare adresate de Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă, Germania) după cum urmează: Cu titlu principal:
Cu titlu subsidiar, în ipoteza în care Curtea ar răspunde afirmativ la prima întrebare preliminară:
|
( 1 ) Limba originală: franceza.
( 2 ) JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2.
( 3 ) BGBl. 1990 I, p. 2954.
( 4 ) BGBl. 2017 I, p. 2097, denumită în continuare „BDSG”.
( 5 ) La articolul 38 alineatul (1) prima teză din BDSG, în versiunea în vigoare de la 26 noiembrie 2019, numărul angajaților a crescut la „20”.
( 6 ) BGBl. 2002 I, p. 42, rectificare la p. 2909, și BGBl. 2003 I, p. 738.
( 7 ) Instanța de trimitere a adăugat că, potrivit jurisprudenței sale, faptul că, din cauza unei schimbări organizaționale, protecția datelor în cadrul întreprinderii va trebui să fie asigurată în viitor de un responsabil extern cu protecția datelor nu este un motiv grav de revocare [a se vedea Hotărârea Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă) 10 AZR 562/09 din 23 martie 2011, punctul 18, disponibilă la următoarea adresă de internet: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562-09/].
( 8 ) Articolul 37 din acest regulament.
( 9 ) Articolul 38 din regulamentul menționat.
( 10 ) Articolul 39 din același regulament.
( 11 ) A se vedea în special Hotărârea din 12 mai 2021, Bundesrepublik Deutschland (Notificare roșie a Interpol) (C‑505/19, EU:C:2021:376, punctul 77).
( 12 ) Sublinierea noastră.
( 13 ) În această privință, în documentul intitulat „Orientările privind responsabilii cu protecția datelor (RPD)” (denumite în continuare „Orientările privind RPD”), adoptate la 13 decembrie 2016 și revizuite la 5 aprilie 2017, disponibile la următoarea adresă de internet: https://ec.europa.eu/newsroom/article29/items/612048/en, Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal, instituit prin articolul 29 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 13, Ediție specială, 13/vol. 17, p. 10) (denumit în continuare „Grupul de lucru «Articolul 29»”), a precizat că „[s]ancțiunile pot lua forme diverse și pot fi directe sau indirecte. Poate fi vorba, de exemplu, despre nepromovare sau despre întârziere în promovare, despre împiedicarea avansării în carieră sau despre refuzul acordării unor avantaje de care beneficiază alți lucrători. Nu este necesară aplicarea efectivă a acestor sancțiuni, o simplă amenințare este suficientă în măsura în care este utilizată pentru a sancționa [responsabilul cu protecția datelor] din motive legate de activitățile sale de [responsabil cu protecția datelor]” (p. 18 și 19). De la intrarea în vigoare a Regulamentului 2016/679, acest grup de lucru a fost înlocuit de Comitetul european pentru protecția datelor (CEPD). Acesta a aprobat Orientările privind RPD în cursul primei sale sesiuni plenare, la 25 mai 2018 (a se vedea https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).
( 14 ) Astfel cum subliniază LH, pe lângă versiunea în limba germană a articolului 38 alineatul (3) a doua teză din Regulamentul 2016/679 („abberufen”), versiuni lingvistice, precum cele în limbile spaniolă („destituido”), franceză („relevé”) sau portugheză („destituído”), arată în mod clar că acest regulament urmărește să pună capăt funcției responsabilului cu protecția datelor, iar nu „raportului de muncă” („kündigen” în limba germană). A se vedea de asemenea versiunile în limbile engleză („dismissed”), italiană („rimosso”), polonă („odwoływany”) și română („demis”).
( 15 ) A se vedea nota Președinției Consiliului Uniunii Europene din 3 octombrie 2014 referitoare la Propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) [prima lectură] – Capitolul IV, disponibilă la următoarea adresă de internet: https://data.consilium.europa.eu/doc/document/ST‑13772-2014-INIT/ro/pdf, privind adăugarea, la articolul 36 alineatul (3) din această propunere, a faptului că responsabilul cu protecția datelor nu este sancționat pentru îndeplinirea sarcinilor sale (p. 34). A se vedea de asemenea Poziția în primă lectură a Consiliului în vederea adoptării unui regulament al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) din 6 aprilie 2016, disponibilă la următoarea adresă de internet: https://eur‑lex.europa.eu/legal‑content/ro/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, de adoptare a textului actual al articolului 38 din Regulamentul 2016/679.
( 16 ) Expresia „în mod independent” figurează în ultima teză a considerentului (97) al Regulamentului 2016/679.
( 17 ) JO 2018, L 295, p. 39.
( 18 ) A se vedea articolul 37 alineatul (6) din Regulamentul 2016/679.
( 19 ) A se vedea Poziția în primă lectură a Consiliului în vederea adoptării unui regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date (Regulamentul general privind protecția datelor) și de abrogare a Directivei 95/46/CE – Proiect de expunere de motive a Consiliului din 31 martie 2016, disponibilă la următoarea adresă de internet: https://eur‑lex.europa.eu/legal‑content/ro/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (p. 22). În ceea ce privește rolul major al responsabilului cu protecția datelor în aplicarea Regulamentului 2016/679, a se vedea considerentul (97) al acestui regulament, precum și sarcinile sale definite la articolul 39 din regulamentul menționat. În această privință, Grupul de lucru „Articolul 29” a amintit, în Orientările privind RPD, că, înainte de adoptarea Regulamentului 2016/679, a arătat că responsabilul cu protecția datelor era „una dintre pietrele de temelie ale regimului de răspundere, iar desemnarea unui [responsabil cu protecția datelor] putea facilita respectarea normelor” (p. 5). Acest grup de lucru a arătat de asemenea că regulamentul menționat recunoaște responsabilul cu protecția datelor „în calitate de actor‑cheie în noul sistem de guvernanță a datelor” (p. 6). A se vedea, cu titlu ilustrativ al nevoii de informare a operatorului sau a persoanei împuternicite de operator la care ar trebui să răspundă responsabilul cu protecția datelor, Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems (C‑311/18, EU:C:2020:559, punctul 134).
( 20 ) A se vedea articolul 38 alineatul (3) prima și a treia teză din Regulamentul 2016/679.
( 21 ) A se vedea articolul 38 alineatul (5) din Regulamentul 2016/679.
( 22 ) A se vedea preambulul și considerentul (12) al Regulamentului 2016/679, precum și Hotărârea din 15 iunie 2021, Facebook Ireland și alții (C‑645/19, EU:C:2021:483, punctul 44).
( 23 ) A se vedea Concluziile noastre prezentate în cauza Facebook Ireland (C‑319/20, EU:C:2021:979, punctul 51).
( 24 ) În acest context, considerăm că nu ne putem întemeia pe dispozițiile articolului 88 alineatul (1) din regulamentul menționat pentru a aprecia că acestea constituie o clauză de deschidere.
( 25 ) A se vedea Concluziile noastre prezentate în cauza Facebook Ireland (C‑319/20, EU:C:2021:979, punctul 51).
( 26 ) A se vedea punctul 31 din prezentele concluzii.
( 27 ) A se vedea în special, în ceea ce privește Regulamentul 2016/679, Concluziile noastre prezentate în cauza Facebook Ireland (C‑319/20, EU:C:2021:979, punctul 52).
( 28 ) A se vedea Concluziile noastre prezentate în cauza Facebook Ireland (C‑319/20, EU:C:2021:979, punctul 52). În plus, la punctul 55 din acestea, am atras deja atenția Curții asupra faptului că Regulamentul 2016/679 conține numeroase clauze de deschidere prin care acest regulament transferă în mod explicit competența normativă statelor membre, ceea ce permite distingerea sa în raport cu un regulament clasic și îl apropie de o directivă.
( 29 ) În această privință, astfel cum subliniază Bielak‑Jomaa, E., „Artykuł 38. Status inspektora ochrony danych”, în Bielak‑Jomaa, E., și Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Varșovia, 2018, p. 794-806, în special punctul 5 al patrulea paragraf, Grupul de lucru „Articolul 29” nu a indicat niciun criteriu care ar fi util pentru a determina îndeplinirea corectă sau incorectă a sarcinilor responsabilului cu protecția datelor. De asemenea, Foret, O., „Le rôle du DPO”, în Bensamoun, A., și Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare și Martin, Paris, 2020, p. 233-239, în special p. 235 și 236, arată că „CEPD precizează în orientările sale că […] «nivelul de expertiză necesar [pentru a fi desemnat responsabil cu protecția datelor] nu este definit în sens strict, [ci] trebuie […] să fie proporțional cu sensibilitatea, complexitatea și volumul datelor prelucrate de un organism»” [a se vedea Orientările privind RPD (p. 13)]. A se vedea de asemenea p. 14 din aceste orientări. A se vedea în plus punctele 50 și 51 din prezentele concluzii.
( 30 ) A se vedea Bergt, M., „Art 38. Stellung des Datenschutzbeauftragten”, în Kühling, J., și Buchner, B., Datenschutz‑Grundverordnung, Bundesdatenschutzgesetz, Kommentar, a 3‑a ed., C. H. Beck, München, 2020, în special punctul 29. Acest autor subliniază că, „[c]ontrar proiectelor Comisiei și Parlamentului, articolul 38 nu prevede o durată minimă a mandatului pentru care trebuie desemnat responsabilul cu protecția datelor” (traducere neoficială).
( 31 ) A se vedea punctele 31 și 32 din prezentele concluzii. Se poate adăuga că legiuitorul Uniunii a adoptat în mod deliberat această opțiune prin faptul că nu a reținut propunerea Comitetului Economic și Social European, în cadrul lucrărilor legislative referitoare la Regulamentul 2016/679, prin care se urmărea să se clarifice „condițiile legate de […] funcți[a responsabilului cu protecția datelor], în special protecția împotriva concedierii, care trebuie clar definită și extinsă dincolo de perioada în care persoana în cauză își asumă această funcție”: a se vedea punctul 4.11.1 din Avizul Comitetului Economic și Social European privind propunerea de regulament al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Regulament general privind protecția datelor) (JO 2012, C 229, p. 90).
( 32 ) A se vedea printre altele informațiile disponibile la următoarele adrese de internet: https://www.dlapiperdataprotection.com/index.html?t=data‑protection‑officers&c=HR&c2= și https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en
( 33 ) Este cazul Regatului Danemarcei, al Irlandei, al Republicii Croația, al Republicii Italiene, al Republicii Cipru, al Republicii Malta, al Regatului Țărilor de Jos, al Republicii Austria, al Republicii Polone, al Republicii Portugheze, al României și al Republicii Finlanda. În Republica Croația, Republica Malta și Republica Polonă, precum și în Republica Bulgaria, revocarea sau schimbarea responsabilului trebuie comunicată autorității naționale pentru protecția datelor cu caracter personal. În unele state membre, precum Republica Franceză și Marele Ducat al Luxemburgului, s‑a precizat că responsabilul cu protecția datelor nu beneficiază de statutul de salariat protejat care ar oferi o garanție suplimentară celei prevăzute de Regulamentul 2016/679.
( 34 ) A se vedea, în legea belgiană, articolul 6 al treilea paragraf din Decretul regal privind consilierii în domeniul securității și protecției vieții private și platforma de securitate și de protecție a datelor din 6 decembrie 2015 (Moniteur belge din 28 decembrie 2015, p. 79268), anterior intrării în vigoare a Regulamentului 2016/679, potrivit căruia „[a]ngajatorul sau autoritatea competentă poate să rezilieze contractul consilierului, să pună capăt activității statutare a consilierului sau să îl înlăture din funcție numai pentru motive care sunt străine de independența sa sau pentru motive care demonstrează că nu este competent să își îndeplinească sarcinile”. Sublinierea noastră. A se vedea de asemenea, în legea spaniolă, articolul 36 alineatul 2 din Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (Legea organică nr. 3/2018 privind protecția datelor cu caracter personal și garantarea drepturilor digitale) din 5 decembrie 2018 (BOE nr. 294 din 6 decembrie 2018, p. 119788), potrivit căruia, „[a]tunci când responsabilul cu protecția datelor este o persoană fizică în cadrul organizației operatorului sau a persoanei împuternicite de operator, acesta nu poate fi nici revocat, nici sancționat de către operator sau de către persoana împuternicită de operator în cadrul îndeplinirii atribuțiilor sale, cu excepția cazului în care a comis o abatere intenționată sau o neglijență gravă la îndeplinirea acestora”. Sublinierea noastră.
( 35 ) A se vedea Orientările privind RPD (p. 19). Sublinierea noastră.
( 36 ) A se vedea în acest sens Fajgielski, P., „Artykuł 38. Status inspektora ochrony danych”, în Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Varșovia, 2018, p. 430-437, în special punctul 5 al cincilea paragraf. A se vedea de asemenea Kremer, S., „§ 6 Datenschutzbeauftragter”, în Laue, P., Nink, J., și Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, a 2‑a ed., Nomos, Baden‑Baden, 2019, în special punctul 36, și Bergt, M., „Art 38. Stellung des Datenschutzbeauftragten”, op. cit., în special punctul 30, precum și Bussche, A., „Art. 38 DSGVO”, în Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, a 3‑a ed., Otto Schmidt, Köln, 2018, în special punctul 19.
( 37 ) A se vedea nota de subsol 7 din prezentele concluzii.
( 38 ) A se vedea punctele 31, 60 și 61 din prezentele concluzii.
( 39 ) A se vedea punctul 31 din prezentele concluzii. A se vedea de asemenea cauzele X‑FAB Dresden (C‑453/21) și KISA (C‑560/21), pendinte în prezent, în care Curtea este sesizată de două camere diferite ale Bundesarbeitsgericht (Curtea Federală pentru Litigii de Muncă), care au adresat aceleași întrebări preliminare, dar în cazuri de demitere din cauza unor conflicte de interese. În prima dintre aceste cauze, o întrebare suplimentară privește criteriile unui astfel de conflict.
( 40 ) A se vedea în acest sens Kremer, S., „§ 6 Datenschutzbeauftragter”, op. cit., în special punctul 35, precum și Bussche, A., „Art. 38 DSGVO”, op. cit., în special punctul 17.
( 41 ) A se vedea punctul 34 din prezentele concluzii.
( 42 ) Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017 (EU:C:2017:592, punctul 96).
( 43 ) A se vedea Hotărârea din 15 iunie 2021, Facebook Ireland și alții (C‑645/19, EU:C:2021:483, punctele 44, 45 și 91).
( 44 ) A se vedea în acest sens Hotărârea din 15 iunie 2021, Facebook Ireland și alții (C‑645/19, EU:C:2021:483, punctul 45 și, prin analogie, punctul 47).
( 45 ) A se vedea nota de subsol 19 a patra teză din prezentele concluzii.