Vec C‑534/20

Leistritz AG

proti

LH

(návrh na začatie prejudiciálneho konania, ktorý podal Bundesverwaltungsgericht)

Rozsudok Súdneho dvora (prvá komora) z 22. júna 2022

„Návrh na začatie prejudiciálneho konania – Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie (EÚ) 2016/679 – Článok 38 ods. 3 druhá veta – Zodpovedná osoba – Zákaz, aby prevádzkovateľ alebo sprostredkovateľ odvolal zodpovednú osobu z funkcie alebo ju postihoval za výkon jej úloh – Právny základ – Článok 16 ZFEÚ – Požiadavka funkčnej nezávislosti – Vnútroštátna právna úprava zakazujúca prepustenie zodpovednej osoby v prípade neexistencie závažného dôvodu“

Ochrana fyzických osôb pri spracovaní osobných údajov – Nariadenie 2016/679 – Zodpovedná osoba – Funkcia – Zákaz, aby prevádzkovateľ alebo sprostredkovateľ odvolal zodpovednú osobu z funkcie alebo ju postihoval za výkon jej úloh – Vnútroštátna právna úprava zakazujúca prepustenie zodpovednej osoby v prípade neexistencie závažného dôvodu – Prepustenie nesúvisiace s výkonom úloh tejto zodpovednej osoby – Prípustnosť – Podmienka – Dosiahnutie cieľov stanovených v tomto nariadení

(Nariadenie Európskeho parlamentu a Rady 2016/679, článok 38 ods. 3 druhá veta)

(pozri body 21– 36 a výrok)

Zhrnutie

LH vykonávala od 1. februára 2018 funkciu zodpovednej osoby v spoločnosti Leistritz AG. Táto spoločnosť je podľa nemeckej právnej úpravy povinná určiť zodpovednú osobu. V júli 2018 Leistritz prepustila LH s výpovednou dobou, pričom sa odvolávala na reštrukturalizáciu svojich činností, v rámci ktorej bolo oddelenie ochrany údajov prenesené na externé subjekty.

Súdy nižšieho stupňa rozhodujúce vo veci samej, na ktorých LH spochybnila platnosť svojho prepustenia, rozhodli, že toto prepustenie je neplatné. V súlade s ustanoveniami nemeckej spolkovej právnej úpravy bolo totiž možné LH z dôvodu jej funkcie zodpovednej osoby prepustiť bez výpovednej doby len zo závažného dôvodu. Reštrukturalizácia činností spoločnosti Leistritz pritom takýto dôvod nepredstavovala.

V nadväznosti na opravný prostriedok, ktorý podala Leistritz na Bundesarbeitsgericht (Spolkový pracovný súd, Nemecko) sa tento súd pýtal, či všeobecné nariadenie o ochrane údajov ( 1 ) umožňuje, aby právne predpisy členského štátu podrobili prepustenie zodpovednej osoby prísnejším podmienkam, ako sú podmienky stanovené v práve Únie.

Súdny dvor vo svojom rozsudku rozhodol, že článok 38 ods. 3 druhá veta GDPR ( 2 ) nebráni vnútroštátnej právnej úprave, ktorá stanovuje, že prevádzkovateľ alebo sprostredkovateľ môžu prepustiť zodpovednú osobu, ktorá je jeho zamestnancom, len zo závažného dôvodu. Táto úvaha sa uplatní, aj keď prepustenie nesúvisí s výkonom úloh tejto zodpovednej osoby, pokiaľ takáto právna úprava neohrozí dosiahnutie cieľov GDPR.

Posúdenie Súdnym dvorom

V prvom rade Súdny dvor zdôraznil, že v súlade s článkom 38 ods. 3 druhou vetou GDPR skutočnosť, že prevádzkovateľovi alebo sprostredkovateľovi je zakázané odvolať zodpovednú osobu z funkcie alebo ju postihovať, znamená, že táto zodpovedná osoba musí byť chránená pred akýmkoľvek rozhodnutím, ktoré by ukončilo výkon jej funkcie alebo by ju znevýhodnilo, alebo ktoré by predstavovalo postih. Takéto rozhodnutie môže predstavovať opatrenie o prepustení zodpovednej osoby prijaté jej zamestnávateľom, ktorým by sa ukončil pracovný pomer medzi touto zodpovednou osobou a týmto zamestnávateľom. Pokiaľ ide o takýto pracovný pomer, Súdny dvor spresnil, že článok 38 ods. 3 druhá veta GDPR sa uplatňuje tak na zodpovednú osobu, ktorá je členom personálu prevádzkovateľa alebo sprostredkovateľa, ako aj na osobu, ktorá plní úlohy na základe zmluvy o poskytovaní služieb uzavretej s prevádzkovateľom alebo sprostredkovateľom. Toto ustanovenie sa teda uplatňuje na vzťahy medzi zodpovednou osobou a prevádzkovateľom alebo sprostredkovateľom bez ohľadu na povahu pracovného pomeru medzi nimi. Navyše toto ustanovenie stanovuje obmedzenie, ktoré spočíva v zákaze prepustenia zodpovednej osoby z dôvodu založeného na výkone jej úloh. ( 3 )

V druhom rade, pokiaľ ide o cieľ sledovaný článkom 38 ods. 3 druhou vetou GDPR, v tomto nariadení ( 4 ) sa uvádza, že v súlade s cieľom GDPR ( 5 ) by zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle. Cieľ, ktorým je zabezpečiť funkčnú nezávislosť zodpovednej osoby, ( 6 ) predpokladá, že táto zodpovedná osoba v súvislosti s výkonom jej úloh nedostáva žiadne pokyny a podlieha priamo najvyššiemu vedeniu prevádzkovateľa alebo sprostredkovateľa, a že je viazaná povinnosťou zachovávať mlčanlivosť alebo dôvernosť informácií. Cieľom článku 38 ods. 3 druhej vety GDPR je teda chrániť nezávislosť zodpovednej osoby v rozsahu, v akom ju toto ustanovenie chráni pred akýmkoľvek rozhodnutím, ktoré by ukončilo výkon jej funkcie alebo by ju znevýhodnilo, alebo ktoré by predstavovalo postih. Toto ustanovenie pritom nemá za cieľ celkovo upraviť pracovnoprávne vzťahy medzi prevádzkovateľom alebo sprostredkovateľom a jeho zamestnancami.

Napokon v treťom rade, pokiaľ ide o kontext, do ktorého patrí článok 38 ods. 3 druhá veta GDPR, Súdny dvor spresňuje, že okrem osobitnej ochrany zodpovednej osoby stanovenej v tomto ustanovení ochrana zodpovednej osoby zamestnanej prevádzkovateľom alebo sprostredkovateľom pred prepustením nepatrí medzi pravidlá, ktoré možno prijať na základe GDPR ( 7 ), ale skôr do oblasti sociálnej politiky. Únia a členské štáty však majú v tejto oblasti spoločnú právomoc. ( 8 ) Únia totiž podporuje a dopĺňa činnosti členských štátov v oblasti ochrany pracovníkov v prípade skončenia pracovnej zmluvy tým, že stanovuje minimálne požiadavky v tejto súvislosti. Každý členský štát preto môže pri výkone svojej právomoci stanoviť osobitné ochranné ustanovenia v oblasti prepustenia zodpovednej osoby, pokiaľ tieto ustanovenia sú v súlade s ustanoveniami GDPR. Konkrétne, takáto zvýšená ochrana nesmie ohroziť dosiahnutie cieľov GDPR. O taký prípad by išlo vtedy, ak by táto ochrana bránila tomu, aby prevádzkovateľ alebo sprostredkovateľ prepustil zodpovednú osobu, ktorá by už nemala odborné znalosti požadované na výkon jej úloh alebo ktorá by tieto úlohy nevykonávala v súlade s ustanoveniami GDPR.

( 1 ) Pozri najmä článok 38 ods. 3 druhú vetu nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1) (ďalej len „GDPR“).

( 2 ) Podľa článku 38 ods. 3 druhej vety GDPR prevádzkovateľ ani sprostredkovateľ nesmú zodpovednú osobu odvolať alebo ju postihovať za výkon jej úloh.

( 3 ) Podľa článku 39 ods. 1 písm. b) GDPR medzi tieto úlohy patrí najmä monitorovanie dodržiavania ustanovení práva Únie alebo práva členských štátov v oblasti ochrany údajov, ako aj pravidiel prevádzkovateľa alebo sprostredkovateľa v oblasti ochrany osobných údajov.

( 4 ) A najmä odôvodnenie 97 GDPR.

( 5 ) Cieľom GDPR, ako vyplýva z jeho odôvodnenia 10, je najmä zabezpečiť vysokú úroveň ochrany fyzických osôb v rámci Únie.

( 6 ) Ako vyplýva z článku 38 ods. 3 prvej, druhej a tretej vety, ako aj z článku 38 ods. 5 GDPR.

( 7 ) Článok 16 ods. 2 ZFEÚ, ktorý je právnym základom GDPR, umožňuje prijatie pravidiel o ochrane fyzických osôb pri spracovaní osobných údajov a ich voľnom pohybe.

( 8 ) Podľa článku 4 ods. 2 písm. b) ZFEÚ.