1.

Návrh na začatie prejudiciálneho konania, ktorý podal Bundesarbeitsgericht (Spolkový pracovný súd, Nemecko), sa týka výkladu a platnosti článku 38 ods. 3 druhej vety nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) ( 2 ).

2.

Tento návrh bol podaný v rámci sporu medzi LH a jej zamestnávateľom, spoločnosťou Leistritz AG, vo veci ukončenia jej pracovnej zmluvy z dôvodu reorganizácie služieb tejto spoločnosti, pričom podľa uplatniteľného nemeckého práva môže byť LH prepustená len zo závažného dôvodu bez dodržania výpovednej doby vzhľadom na to, že bola určená za zodpovednú osobu.

3.

V týchto návrhoch vysvetlím dôvody, pre ktoré sa domnievam, že zákaz odvolania zodpovednej osoby z funkcie stanovený v článku 38 ods. 3 druhej vete nariadenia 2016/679 nevyplýva z harmonizácie hmotnoprávnych predpisov pracovného práva, ktorá ponecháva členským štátom možnosť posilniť ochranu zodpovednej osoby vo svojich vnútroštátnych predpisoch v rôznych oblastiach v súlade s cieľom sledovaným týmto nariadením.

4.

Odôvodnenia 10, 13 a 97 nariadenia 2016/679 stanovujú:

…

…

5.

Článok 1 tohto nariadenia, nazvaný „Predmet úpravy a ciele“, v odseku 1 stanovuje:

„Týmto nariadením sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov a pravidlá týkajúce sa voľného pohybu osobných údajov.“

6.

Článok 37 uvedeného nariadenia, nazvaný „Určenie zodpovednej osoby“, v odsekoch 1 a 4 až 6 stanovuje:

„1.   Prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v každom prípade, keď:

…

4.   V iných prípadoch, ako sú prípady uvedené v odseku 1, zodpovednú osobu môže určiť alebo, ak sa to vyžaduje v práve Únie alebo v práve členského štátu, určí prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.

5.   Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany údajov a na základe spôsobilosti plniť úlohy uvedené v článku 39.

6.   Zodpovedná osoba môže byť členom personálu prevádzkovateľa alebo sprostredkovateľa, alebo môže plniť úlohy na základe zmluvy o poskytovaní služieb.“

7.

Článok 38 toho istého nariadenia, nazvaný „Postavenie zodpovednej osoby“, stanovuje:

„1.   Prevádzkovateľ a sprostredkovateľ zabezpečia, aby bola zodpovedná osoba riadnym spôsobom a včas zapojená do všetkých záležitostí, ktoré súvisia s ochranou osobných údajov.

…

3.   Prevádzkovateľ a sprostredkovateľ zabezpečia, aby zodpovedná osoba v súvislosti s výkonom týchto úloh nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh. Zodpovedná osoba podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa.

4.   Dotknuté osoby môžu kontaktovať zodpovednú osobu v súvislosti so všetkými otázkami týkajúcimi sa spracúvania ich osobných údajov a uplatňovania ich práv podľa tohto nariadenia.

5.   Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií v súlade s právom Únie alebo s právom členského štátu.

6.   Zodpovedná osoba môže plniť iné úlohy a povinnosti. Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby žiadna z akýchto úloh alebo povinností neviedla ku konfliktu záujmov.“

8.

V článku 39 nariadenia 2016/679 sa uvádzajú hlavné úlohy zodpovednej osoby.

9.

§ 6 Bundesdatenschutzgesetz (spolkový zákon o ochrane údajov) z 20. decembra 1990 ( 3 ), v znení účinnom od 25. mája 2018 do 25. novembra 2019 ( 4 ), nazvaný „Funkcia“, v odseku 4 stanovuje:

„Zodpovedná osoba môže byť odvolaná z funkcie len pri analogickom uplatnení § 626 Bürgerliches Gesetzbuch [Občiansky zákonník]. Prepustenie zodpovednej osoby je nezákonné, pokiaľ nenastali skutočnosti, ktoré verejný orgán oprávňujú prepustiť ju zo závažného dôvodu bez dodržania výpovednej doby. Po skončení výkonu funkcie zodpovednej osoby je prepustenie počas jedného roka nezákonné, pokiaľ verejný orgán nie je oprávnený ju prepustiť zo závažného dôvodu bez dodržania výpovednej doby.“

10.

§ 38 BDSG, nazvaný „Zodpovedné osoby neverejnoprávnych subjektov“, stanovuje:

„1.   Okrem prípadov uvedených v článku 37 ods. 1 písm. b) a c) nariadenia… 2016/679 prevádzkovateľ a sprostredkovateľ určia zodpovednú osobu v prípade, že spravidla zamestnávajú najmenej desať osôb[ ( 5 )] trvalo poverených automatizovaným spracovaním osobných údajov. …

2.   Uplatňuje sa § 6 ods. 4, § 6 ods. 5 druhá veta a § 6 ods. 6; § 6 ods. 4 sa však uplatňuje len vtedy, ak je určenie zodpovednej osoby povinné.“

11.

§ 134 Občianskeho zákonníka v znení uverejnenom 2. januára 2002 ( 6 ) nazvaný „Zákonný zákaz“, znie takto:

„Ak zákon nestanovuje inak, akýkoľvek právny úkon odporujúci zákonnému zákazu je neplatný.“

12.

§ 626 tohto zákonníka, nazvaný „Ukončenie pracovného pomeru zo závažného dôvodu bez výpovednej doby“, stanovuje:

„1.   Každá zo zmluvných strán môže ukončiť pracovný pomer zo závažného dôvodu bez dodržania výpovednej doby, ak vzhľadom na určité skutočnosti nemožno od zmluvnej strany, ktorá vypovedá zmluvu, požadovať pokračovanie pracovného pomeru až do uplynutia výpovednej doby alebo do dohodnutého skončenia pracovného pomeru, a to so zreteľom na všetky okolnosti prípadu a s prihliadnutím na záujmy oboch zmluvných strán.

2.   K ukončeniu pracovného pomeru môže dôjsť len v lehote dvoch týždňov. Lehota začína plynúť od okamihu, keď sa zmluvná strana, ktorá môže vypovedať zmluvu, dozvie o skutočnostiach relevantných pre ukončenie pracovného pomeru…“

13.

Leistritz je súkromnoprávna spoločnosť, ktorá je podľa nemeckého práva povinná určiť zodpovednú osobu. LH vykonávala v tejto spoločnosti od 15. januára 2018 funkciu vedúcej oddelenia právnych záležitostí a od 1. februára 2018 funkciu internej zodpovednej osoby.

14.

Listom z 13. júla 2018 Leistritz prepustila LH s výpovednou dobou, a to s účinnosťou od 15. augusta 2018, pričom sa odvolávala na reštrukturalizačné opatrenie podniku, v rámci ktorého boli interné právne poradenstvo a oddelenie ochrany údajov prenesené na externé subjekty.

15.

Súd, na ktorom LH spochybnila platnosť svojho prepustenia, rozhodol, že v súlade s ustanoveniami § 38 ods. 2 v spojení s § 6 ods. 4 druhou vetou BDSG možno LH z dôvodu jej funkcie zodpovednej osoby prepustiť bez výpovednej doby len zo závažného dôvodu. Reštrukturalizačné opatrenie opísané spoločnosťou Leistritz pritom nepredstavuje závažný dôvod na prepustenie bez výpovednej doby.

16.

Vnútroštátny súd, na ktorý podala Leistritz opravný prostriedok „Revision“, zdôrazňuje, že podľa nemeckého práva je prepustenie LH neplatné na základe týchto ustanovení a § 134 Občianskeho zákonníka. ( 7 ) Uvádza však, že uplatniteľnosť takýchto ustanovení závisí od toho, či právo Únie, a najmä článok 38 ods. 3 druhá veta nariadenia 2016/679, umožňuje, aby právne predpisy členského štátu podrobili prepustenie zodpovednej osoby prísnejším podmienkam, ako sú podmienky stanovené v práve Únie. Ak by to tak nebolo, musel by vyhovieť opravnému prostriedku „Revision“.

17.

Za týchto podmienok Bundesarbeitsgericht (Spolkový pracovný súd) rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

18.

LH, Leistritz, nemecká a rumunská vláda, ako aj Európsky parlament, Rada Európskej únie a Európska komisia predložili písomné pripomienky. Títo účastníci konania, s výnimkou nemeckej a rumunskej vlády, predniesli svoje ústne pripomienky na pojednávaní, ktoré sa konalo 18. novembra 2021.

19.

Svojou prvou otázkou sa vnútroštátny súd v podstate pýta Súdneho dvora, či sa má článok 38 ods. 3 druhá veta nariadenia 2016/679 vykladať v tom zmysle, že bráni vnútroštátnej právnej úprave, ktorá stanovuje, že zamestnávateľ zodpovednej osoby ju môže prepustiť len zo závažného dôvodu, aj keď prepustenie nesúvisí s výkonom úloh tejto zodpovednej osoby.

20.

Odpoveď na túto otázku si v prvom rade vyžaduje objasnenie toho, čo sa rozumie pod výrazom „odvolať… za výkon jej úloh“, ktorý použil normotvorca Únie v článku 38 ods. 3 druhej vete nariadenia 2016/679. V druhom rade bude potrebné určiť, či členské štáty majú možnosť rozšíriť záruky, ktoré má zodpovedná osoba podľa tohto ustanovenia.

21.

Článok 38 nariadenia 2016/679 je obsiahnutý v kapitole IV tohto nariadenia, ktorá sa týka „prevádzkovateľ[a] a sprostredkovateľ[a]“, a konkrétne v jej oddiele 4 s názvom „Zodpovedná osoba“. Tento oddiel obsahuje tri články týkajúce sa určenia zodpovednej osoby ( 8 ), jej postavenia ( 9 ) a jej úloh, ktoré spočívajú najmä v poskytovaní osobného poradenstva v oblasti spracovania údajov a v monitorovaní dodržiavania pravidiel ochrany údajov. ( 10 )

22.

Pri výklade článku 38 ods. 3 druhej vety nariadenia č. 2016/679 je podľa ustálenej judikatúry Súdneho dvora potrebné zohľadniť nielen podmienky tohto ustanovenia, ale aj jeho kontext a ciele sledované právnou úpravou, ktorej je súčasťou. ( 11 )

23.

Pokiaľ ide o znenie článku 38 ods. 3 druhej vety nariadenia 2016/679, poznamenávam, že vyjadruje povinnosť v negatívnom zmysle. Uvádza sa v ňom totiž, že „prevádzkovateľ ani sprostredkovateľ… nesmú [zodpovednú osobu] odvolať alebo postihovať za výkon jej úloh“ ( 12 ).

24.

Toto ustanovenie teda určuje rozsah ochrany zodpovednej osoby. Tá je chránená pred akýmkoľvek rozhodnutím, ktoré by ukončilo výkon jej funkcie alebo by ju znevýhodnilo, ak takéto rozhodnutie súvisí s výkonom jej úloh.

25.

Pokiaľ ide o rozdiel medzi opatrením na odvolanie zodpovednej osoby z funkcie a opatrením na jej postih, poznamenávam po prvé, že nijaké ustanovenie nariadenia 2016/679 výslovne ani implicitne nedefinuje tieto opatrenia. ( 13 )

26.

Po komparatívnom preskúmaní iných jazykových verzií možno konštatovať, že článok 38 ods. 3 druhá veta nariadenia 2016/679 sa vzťahuje na dva druhy opatrení, a to na tie, ktorými dochádza k ukončeniu výkonu funkcie zodpovednej osoby, ako aj na tie, ktoré predstavujú postih alebo znevýhodňujú zodpovednú osobu, a to bez ohľadu na ich rámec. Tieto definície sa teda môžu vzťahovať na výpovede, ktorými zamestnávateľ ukončuje pracovnú zmluvu. ( 14 )

27.

Výsledky skúmania legislatívnej histórie článku 38 nariadenia 2016/679, ku ktorým som mal prístup, neumožňujú – pre nedostatok podrobných informácií – objasniť presné zámery normotvorcu Únie, pokiaľ ide o rozsah pojmu „odvola[ný]“. Možno len poznamenať, že k redakčnému doplneniu o odvolaní z funkcie došlo neskoro v legislatívnom procese, ( 15 ) počas ktorého bola zároveň vypustená táto časť vety, ktorá by sa objavila za slovami „Prevádzkovateľ alebo sprostredkovateľ zabezpečia, aby zodpovedná osoba“: „mohla pri výkone jej úloh konať nezávisle“ ( 16 ). Z toho možno vyvodiť, že tento normotvorca chcel konkretizovať povinnosť neodvolať zodpovednú osobu z funkcie za výkon jej úloh.

28.

Poznamenávam tiež, že normotvorca Únie sa rozhodol prevziať znenie článku 38 ods. 3 druhej vety nariadenia 2016/679 do článku 44 ods. 3 druhej vety nariadenia Európskeho parlamentu a Rady (EÚ) 2018/1725 z 23. októbra 2018 o ochrane fyzických osôb pri spracúvaní osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie a o voľnom pohybe takýchto údajov, ktorým sa zrušuje nariadenie (ES) č. 45/2001 a rozhodnutie č. 1247/2002/ES ( 17 ). Z dokumentov týkajúcich sa vypracovania nariadenia 2018/1725 však nemožno vyvodiť nijaké spresnenie, čo je podľa môjho názoru odôvodnené tým, že v článku 44 ods. 8 je doplnená ďalšia základná záruka poskytovaná zodpovednej osobe, a to, že „môže byť z tejto funkcie odvolaná inštitúciou alebo orgánom Únie, ktoré ju menovali, iba so súhlasom Európskeho dozorného úradníka pre ochranu údajov, ak už nespĺňa podmienky požadované na výkon jej povinností“.

29.

Po druhé poznamenávam, že článok 38 ods. 3 druhá veta nariadenia 2016/679 nerozlišuje, či je zodpovedná osoba členom personálu prevádzkovateľa alebo sprostredkovateľa. ( 18 ) Toto nariadenie totiž neobsahuje nijaké ustanovenie týkajúce sa vzájomnej závislosti medzi rozhodnutiami prijatými zamestnávateľom v rámci pracovného pomeru a rozhodnutiami týkajúcimi sa povinností zodpovednej osoby. Jediným stanoveným obmedzením je dôvod, pre ktorý nemožno ukončiť výkon funkcie zodpovednej osoby, a to akýkoľvek dôvod založený na výkone jej úloh.

30.

Pokiaľ ide o cieľ sledovaný normotvorcom Únie, odôvodňuje všeobecné znenie článku 38 ods. 3 druhej vety nariadenia 2016/679, ako aj voľbu tohto obmedzenia.

31.

V návrhu dôvodovej správy Rady sa totiž spresňuje, že cieľom určenia zodpovednej osoby je zlepšiť dodržiavanie nariadenia 2016/679. ( 19 ) Preto sa v článku 38 ods. 3 druhej vete tohto nariadenia stanovujú povinnosti na zabezpečenie nezávislosti zodpovednej osoby. V tom istom článku je teda stanovené, že zodpovedná osoba nesmie v súvislosti s výkonom jej úloh dostávať žiadne pokyny a že musí podliehať priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa. ( 20 ) Je tiež viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií. ( 21 )

32.

Dôraz sa teda kladie na prísne vymedzenie funkcie zodpovednej osoby, ktoré je odôvodnené najmä vtedy, keď túto zodpovednú osobu určí prevádzkovateľ, ktorý je jej zamestnávateľom. Zákaz uvedený v článku 38 ods. 3 druhej vete nariadenia 2016/679 teda zaručuje výsady, ktoré má zodpovedná osoba pri výkone jej úloh a ktoré môžu byť v niektorých prípadoch ťažko zlučiteľné s výsadami stanovenými zamestnávateľom v rámci pracovného pomeru.

33.

Analýzu, že jediným účelom tohto ustanovenia je organizovať nezávislý výkon povinností zodpovednej osoby, potvrdzuje kontext, v ktorom bolo prijaté.

34.

V tejto súvislosti je potrebné zdôrazniť, že účelom nariadenia 2016/679 je podľa jeho článku 1 stanoviť pravidlá ochrany fyzických osôb pri spracovaní osobných údajov, ako aj pravidlá o voľnom pohybe týchto údajov. Bolo teda prijaté na základe článku 16 ods. 2 ZFEÚ, ( 22 ) čo vedie k záveru, ako som už uviedol v predchádzajúcich návrhoch, že hoci je ochrana osobných údajov svojou povahou prierezová, harmonizácia vykonaná týmto nariadením je obmedzená na aspekty osobitne upravené uvedeným nariadením v tejto oblasti. ( 23 )

35.

Zo všetkých týchto dôvodov niet podľa môjho názoru pochýb o tom, že osobitná ochrana zodpovednej osoby stanovená v článku 38 ods. 3 druhej vete nariadenia 2016/679 je primeraná účelu tohto nariadenia, keďže posilňuje autonómiu zodpovednej osoby. Nespadá teda do širšieho rozsahu ochrany pracovníkov. ( 24 )

36.

Preto sa opäť nastoľuje otázka, či okrem aspektov, ktoré sú osobitne upravené nariadením 2016/679, majú členské štáty naďalej možnosť prijímať právne predpisy za predpokladu, že nenarušia obsah a ciele tohto nariadenia. ( 25 )

37.

Podľa môjho názoru cieľ nariadenia 2016/679 stanovený v jeho odôvodnení 13, podľa ktorého normotvorca Únie vo všeobecnej rovine zaručuje nezávislosť zodpovednej osoby v článku 38 ods. 3 druhej vete tohto nariadenia, ( 26 ) odôvodňuje, že členský štát musí mať možnosť prijať akékoľvek iné opatrenie zamerané na posilnenie nezávislosti zodpovednej osoby pri výkone jej úloh.

38.

Táto analýza nie je v rozpore s účinkami nariadenia, ako sú definované v článku 288 druhom odseku ZFEÚ, ani s následnou povinnosťou členských štátov neodchyľovať sa od nariadenia, ktoré je záväzné v celom rozsahu a priamo uplatniteľné, ani ho dopĺňať, pokiaľ ustanovenia tohto nariadenia nepriznávajú členským štátom rozhodovací priestor, ktorý musia, prípadne môžu využiť za podmienok a v medziach stanovených týmito ustanoveniami. ( 27 )

39.

Preto opakujem svoj názor, že rozsah harmonizácie vykonanej nariadením 2016/679 sa mení podľa posudzovaných ustanovení. Určenie normatívneho dosahu tohto nariadenia teda vyžaduje preskúmanie od prípadu k prípadu. ( 28 )

40.

V tejto súvislosti poznamenávam, že článok 38 ods. 3 druhá veta nariadenia 2016/679 sa zaoberá odvolaním zodpovednej osoby z funkcie v rozsahu, v akom je výlučne spojené s výkonom jej úloh, ktoré sa považuje za správne, ( 29 ) vo forme zákazu bez toho, aby sa zaviedol stupeň závažnosti uvádzaného dôvodu alebo aby sa zohľadnili rôzne aspekty vzťahu podriadenosti so zamestnávateľom, ktoré môžu mať vplyv na jej určenie za zodpovednú osobu. Nebrala sa teda do úvahy napríklad dĺžka trvania pracovnej zmluvy alebo osobný či ekonomický dôvod jej ukončenia, ktorý môže byť v prípade potreby dohodnutý, alebo tiež prerušenie pracovného pomeru z dôvodu choroby, odbornej prípravy, dovolenky za kalendárny rok či dlhotrvajúcej dovolenky.

41.

Okrem toho zámer normotvorcu Únie ponechať na členské štáty, aby doplnili ustanovenia chrániace nezávislosť zodpovednej osoby na základe minimálneho legislatívneho rámca pre výkon jej úloh, ktorý je vymedzený v súlade s cieľmi nariadenia 2016/679, sa prejavuje aj tým, že neexistuje žiadna požiadavka týkajúca sa dĺžky funkčného obdobia zodpovednej osoby – v rozpore s tým, čo je stanovené v článku 44 ods. 8 prvej vete nariadenia 2018/1725 – ( 30 ) alebo týkajúca sa prípadu, ako v prejedávanej veci, reorganizácie podniku, ktorá má za následok outsourcing funkcií zodpovednej osoby z dôvodov, ktoré nesúvisia s výkonom jej úloh.

42.

Členské štáty sa preto môžu rozhodnúť posilniť nezávislosť zodpovednej osoby v rozsahu, v akom sa podieľa na vykonávaní cieľov nariadenia 2016/679, najmä v súvislosti s prepúšťaním, keďže v práve Únie neexistuje žiadne ustanovenie, ktoré by mohlo slúžiť ako základ pre osobitnú a konkrétnu ochranu zodpovednej osoby pred prepustením z dôvodu, ktorý nesúvisí s výkonom jej úloh, zatiaľ čo skončenie pracovného pomeru má nevyhnutne za následok ich ukončenie.

43.

V tejto súvislosti je potrebné pripomenúť, že v oblasti ochrany pracovníkov v prípade ukončenia pracovnej zmluvy sa v článku 153 ods. 1 písm. d) ZFEÚ spresňuje, že Únia podporuje a dopĺňa činnosti členských štátov a že vo všeobecnosti platí, že v oblasti sociálnej politiky majú Únia a členské štáty na základe článku 4 ods. 2 písm. b) ZFEÚ spoločnú právomoc v zmysle článku 2 ods. 2 ZFEÚ, pokiaľ ide o aspekty vymedzené v Zmluve o FEÚ.

44.

Za týchto podmienok každý členský štát môže prijať osobitné ustanovenia týkajúce sa prepustenia zodpovednej osoby za predpokladu, že tieto ustanovenia sú v súlade s režimom ochrany zodpovednej osoby stanoveným v nariadení 2016/679. ( 31 )

45.

Ako vyplýva zo stručného preskúmania právnych predpisov členských štátov, do ktorých som mal možnosť nahliadnuť, ( 32 ) väčšina z nich neprijala osobitné ustanovenia týkajúce sa prepúšťania a obmedzila sa na zákaz uvedený v článku 38 ods. 3 druhej vete nariadenia 2016/679, ktorý je priamo uplatniteľný. ( 33 )

46.

Ostatné členské štáty sa však rozhodli tento článok doplniť. ( 34 )

47.

V tejto súvislosti poznamenávam, že pracovná skupina „WP29“ zastávala názor, že „v rámci bežných pravidiel riadenia a rovnako, ako by tomu bolo za podmienok stanovených platným vnútroštátnym zmluvným, pracovným alebo trestným právom v prípade akéhokoľvek iného zamestnanca alebo zmluvného partnera, zodpovedná osoba by mohla byť oprávnene prepustená z dôvodov, ktoré nesúvisia s výkonom jej úloh ako zodpovednej osoby (napríklad v prípade krádeže, fyzického, psychického alebo sexuálneho obťažovania alebo podobného hrubého pochybenia)“ ( 35 ).

48.

Bez ohľadu na rozhodnutie členských štátov, správny alebo súdny orgán v každom z nich, ktorý je zodpovedný za preskúmanie zákonnosti dôvodu na odvolanie zodpovednej osoby z funkcie, podľa môjho názoru tiež prispieva k zaručeniu nezávislosti zodpovednej osoby.

49.

Keďže je totiž veľmi pravdepodobné, že súvislosť s uspokojivým výkonom úloh zodpovednej osoby nebude výslovne vyplývať z rozhodnutia o odvolaní z funkcie, ( 36 ) je možné uvažovať o všeobecnej ochrane založenej na samotnom postavení zodpovednej osoby. V prejednávanej veci z vysvetlení vnútroštátneho súdu vyplýva, že práve pojem „závažný dôvod“, ako ho vykladá nemecké právo, vedie v záujme dodatočnej ochrany k záveru, že pracovný pomer zodpovednej osoby nemožno ukončiť v prípade reštrukturalizácie. ( 37 ) V tom istom zmysle by sa okrem iného mohlo konštatovať, že v prípade ekonomických ťažkostí podniku, ktorý je povinný určiť zodpovednú osobu a na tento účel si vybral jedného zo svojich zamestnancov, by sa úlohy tejto zodpovednej osoby mali vzhľadom na cieľ nariadenia 2016/679 a prínos takejto osoby k naplneniu tohto cieľa vykonávať aj naďalej, pokiaľ bude činnosť zamestnávateľa pokračovať.

50.

Zákaz stanovený v článku 38 ods. 3 druhej vete nariadenia 2016/679 má však nevyhnutne obmedzenia v prípade objektívnych pochybení pri výkone úloh zodpovednej osoby v súvislosti s jej povinnosťami. Tieto obmedzenia musia byť stanovené v súlade s cieľom sledovaným týmto nariadením. ( 38 )

51.

Výklad, ktorý je rovnako v súlade s cieľom nariadenia 2016/679, tak podľa môjho názoru musí viesť k tomu, že zodpovedná osoba môže byť odvolaná z funkcie, pokiaľ už nespĺňa kvalitatívne kritériá potrebné na výkon jej úloh, ako sú kritériá uvedené v článku 37 ods. 5 tohto nariadenia, alebo ak neplní povinnosti stanovené v článku 38 ods. 3 prvej a tretej vete a v článku 38 ods. 5 a 6 uvedeného nariadenia, ( 39 ) alebo tiež ak sa úroveň jej odborných znalostí ukáže ako nedostatočná. ( 40 )

52.

Preto zastávam názor, že článok 38 ods. 3 druhá veta nariadenia 2016/679 sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá stanovuje, že zamestnávateľ zodpovednej osoby ju môže prepustiť len zo závažného dôvodu, aj keď prepustenie nesúvisí s výkonom povinností tejto zodpovednej osoby.

53.

Ak sa však Súdny dvor nestotožní s týmto názorom a rozhodne sa odpovedať na prvú otázku vnútroštátneho súdu kladne, je potrebné odpovedať na ďalšie dve prejudiciálne otázky.

54.

Svojou druhou otázkou sa vnútroštátny súd pýta, či článok 38 ods. 3 druhá veta nariadenia 2016/679 bráni vnútroštátnej právnej úprave, podľa ktorej je prepustenie zodpovednej osoby jej zamestnávateľom nezákonné, ak neexistuje závažný dôvod, aj keď toto prepustenie nesúvisí s výkonom jej úloh, pokiaľ určenie zodpovednej osoby nie je povinné na základe článku 37 ods. 1 uvedeného nariadenia, ale výlučne na základe vnútroštátneho práva, ako je stanovené v článku 37 ods. 4 uvedeného nariadenia.

55.

Poznamenávam, že ani článok 38 ods. 3 nariadenia 2016/679, ani ostatné ustanovenia oddielu 4 tohto nariadenia týkajúceho sa zodpovednej osoby nerozlišujú medzi povinným a nepovinným určením zodpovednej osoby.

56.

Preto zastávam názor, že vnútroštátnemu súdu treba odpovedať tak, že článok 38 ods. 3 druhá veta nariadenia 2016/679 sa uplatňuje bez rozdielu, či je zodpovedná osoba povinne určená podľa práva Únie alebo podľa vnútroštátneho práva.

57.

Svojou treťou otázkou sa vnútroštátny súd pýta na platnosť článku 38 ods. 3 druhej vety nariadenia 2016/679, a osobitne na to, či existuje dostatočný právny základ pre toto ustanovenie, a to najmä v rozsahu, v akom sa týka zodpovedných osôb, ktoré sú s prevádzkovateľom viazaní pracovnou zmluvou.

58.

Navrhujem, aby Súdny dvor rozhodol, že článok 38 ods. 3 druhá veta nariadenia 2016/679 má dostatočný právny základ, keďže jeho jediným účelom je chrániť zodpovednú osobu pred akýmikoľvek prekážkami pri výkone jej úloh a že táto záruka bez ohľadu na existenciu pracovného pomeru prispieva k účinnému dosiahnutiu cieľov tohto nariadenia.

59.

Na jednej strane, ako som totiž vysvetlil v analýze prvej prejudiciálnej otázky, ( 41 ) právnym základom uvedeného nariadenia je článok 16 ZFEÚ. Okrem toho Súdny dvor rozhodol, že tento článok predstavuje – bez toho, aby bol dotknutý článok 39 ZEÚ – vhodný právny základ, ak je ochrana osobných údajov jedným z cieľov alebo podstatných prvkov pravidiel prijatých normotvorcom Únie. ( 42 )

60.

Na druhej strane jedna z týchto podmienok je podľa môjho názoru v plnej miere splnená, a to pokiaľ ide o úlohu zodpovednej osoby a jej vedúcich pracovníkov, ako sú definované v nariadení 2016/679. Záruka funkčnej nezávislosti zodpovednej osoby, ktorej cieľom je splniť požiadavku zabezpečenia vysokej úrovne dodržiavania základných práv osôb dotknutých spracovaním osobných údajov, ( 43 ) je vyjadrená v článku 38 ods. 3 druhej vete tohto nariadenia, ktorý obsahuje zákaz ukončiť výkon jej funkcie z dôvodov súvisiacich s jej úlohami. Keďže toto ustanovenie nevyžaduje žiadnu harmonizáciu pracovného práva, normotvorca Únie neprekročil normatívne právomoci, ktoré mu boli zverené článkom 16 ods. 2 ZFEÚ.

61.

Pokiaľ ide o dodržiavanie zásad subsidiarity a proporcionality, na ktoré sa vnútroštátny súd tiež pýta, konštatujem po prvé, že nárast cezhraničného spracovania osobných údajov odôvodňuje, aby sa ochrana osobných údajov so zreteľom na základné práva vykonávala na úrovni Únie, ( 44 ) a to najmä tým, že sa zaručia výsady zodpovednej osoby, ktorá sa považuje za „kľúčového aktéra“ tejto ochrany. ( 45 ) Po druhé sa mi zdá, že článok 38 ods. 3 druhá veta nariadenia 2016/679 neprekračuje rámec toho, čo je potrebné na zaručenie funkčnej nezávislosti zodpovednej osoby. Je pravda, že záruka, že nebude odvolaná z funkcie, ktorá je stanovená v tomto ustanovení, má nevyhnutne vplyv na pracovný pomer. Tento vplyv je však určený len na zachovanie potrebného účinku funkcie zodpovednej osoby.

62.

V dôsledku toho sa domnievam, že vnútroštátnemu súdu treba odpovedať tak, že preskúmanie tretej prejudiciálnej otázky neodhalilo nijakú skutočnosť, ktorá by mohla ovplyvniť platnosť článku 38 ods. 3 druhej vety nariadenia 2016/679.

63.

Vzhľadom na všetky vyššie uvedené úvahy navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré položil Bundesarbeitsgericht (Spolkový pracovný súd, Nemecko), takto:

V prvom rade:

Subsidiárne za predpokladu, že Súdny dvor odpovie na prvú otázku kladne: