ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (πρώτο τμήμα) της 22ας Ιουνίου 2022
«Προδικαστική παραπομπή – Προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα – Κανονισμός (ΕΕ) 2016/679 – Άρθρο 38, παράγραφος 3, δεύτερη περίοδος – Υπεύθυνος προστασίας δεδομένων – Απαγόρευση προς τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να απολύσουν τον υπεύθυνο προστασίας δεδομένων ή να του επιβάλουν κυρώσεις επειδή επιτέλεσε τα καθήκοντά του – Νομική βάση – Άρθρο 16 ΣΛΕΕ – Απαίτηση λειτουργικής ανεξαρτησίας – Εθνική νομοθεσία που απαγορεύει την απόλυση υπεύθυνου προστασίας δεδομένων χωρίς σπουδαίο λόγο»

Στην υπόθεση C‑534/20,

με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Bundesarbeitsgericht (Ομοσπονδιακό Δικαστήριο Εργατικών Διαφορών, Γερμανία), με απόφαση της 30ής Ιουλίου 2020, η οποία περιήλθε στο Δικαστήριο στις 21 Οκτωβρίου 2020, στο πλαίσιο της δίκης

Leistritz AG

κατά

LH,

ΤΟ ΔΙΚΑΣΤΗΡΙΟ (πρώτο τμήμα),

συγκείμενο από τους A. Arabadjiev, πρόεδρο τμήματος, I. Ziemele (εισηγήτρια) και P. G. Xuereb, δικαστές,

γενικός εισαγγελέας: J. Richard de la Tour,

γραμματέας: D. Dittert, προϊστάμενος μονάδας,

έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 18ης Νοεμβρίου 2021,

λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:

–        η Leistritz AG, εκπροσωπούμενη από τον O. Seeling και την C. Wencker, Rechtsanwälte,

–        η LH, εκπροσωπούμενη από τον S. Lohneis, Rechtsanwalt,

–        η Γερμανική Κυβέρνηση, εκπροσωπούμενη από τον J. Möller και την S. K. Costanzo,

–        η Ρουμανική Κυβέρνηση, εκπροσωπούμενη από την E. Gane,

–        το Ευρωπαϊκό Κοινοβούλιο, εκπροσωπούμενο από τις O. Hrstková Šolcová, P. López-Carceller και B. Schäfer,

–        το Συμβούλιο της Ευρωπαϊκής Ένωσης, εκπροσωπούμενο από την T. Haas και τον K. Pleśniak,

–        η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από την K. Herrmann και τους H. Kranenborg και D. Nardi,

αφού άκουσε τον γενικό εισαγγελέα, που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 27ης Ιανουαρίου 2022,

εκδίδει την ακόλουθη

Απόφαση

1        Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία και το κύρος του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικά EE 2018, L 127, σ. 2, και ΕΕ 2021, L 74, σ. 35) (στο εξής: ΓΚΠΔ).

2        Η αίτηση αυτή υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ της Leistritz AG και της LH, η οποία εργαζόταν ως υπεύθυνη προστασίας δεδομένων στην ως άνω εταιρία, σχετικά με τη λύση της σύμβασης εργασίας της LH λόγω αναδιοργάνωσης των υπηρεσιών της εταιρίας.

 Το νομικό πλαίσιο

 Το δίκαιο της Ένωσης

3        Οι αιτιολογικές σκέψεις 10 και 97 του ΓΚΠΔ έχουν ως εξής:

«(10) Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη. Θα πρέπει να διασφαλίζεται συνεκτική και ομοιόμορφη εφαρμογή των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. […]

[…]

(97) […] [Οι] υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπευθύνου επεξεργασίας, θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους με ανεξάρτητο τρόπο.»

4        Το άρθρο 37 του ΓΚΠΔ, που φέρει τον τίτλο «Ορισμός του υπεύθυνου προστασίας δεδομένων», έχει ως εξής:

«1.      Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνο προστασίας δεδομένων σε κάθε περίπτωση στην οποία:

α)      η επεξεργασία διενεργείται από δημόσια αρχή ή φορέα, εκτός από δικαστήρια που ενεργούν στο πλαίσιο της δικαστικής τους ιδιότητας·

β)      οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν πράξεις επεξεργασίας οι οποίες, λόγω της φύσης, του πεδίου εφαρμογής και/ή των σκοπών τους, απαιτούν τακτική και συστηματική παρακολούθηση των υποκειμένων των δεδομένων σε μεγάλη κλίμακα, ή

γ)      οι βασικές δραστηριότητες του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία συνιστούν μεγάλης κλίμακας επεξεργασία ειδικών κατηγοριών δεδομένων κατά το άρθρο 9 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10.

[…]

6.      Ο υπεύθυνος προστασίας δεδομένων μπορεί να είναι μέλος του προσωπικού του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία ή να ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.

[…]»

5        Το άρθρο 38 του ΓΚΠΔ, που φέρει τον τίτλο «Θέση του υπεύθυνου προστασίας δεδομένων», προβλέπει, στις παραγράφους 3 και 5, τα εξής:

«3.      Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων δεν λαμβάνει εντολές για την άσκηση των εν λόγω καθηκόντων. Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του. Ο υπεύθυνος προστασίας δεδομένων λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία.

[…]

5.      Ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας σχετικά με την εκτέλεση των καθηκόντων του, σύμφωνα με το δίκαιο της Ένωσης ή του κράτους μέλους.»

6        Το άρθρο 39 του ΓΚΠΔ, που φέρει τον τίτλο «Καθήκοντα του υπεύθυνου προστασίας δεδομένων», ορίζει στην παράγραφο 1, στοιχείο βʹ, τα εξής:

«Ο υπεύθυνος προστασίας δεδομένων έχει τουλάχιστον τα ακόλουθα καθήκοντα:

[…]

β)      παρακολουθεί τη συμμόρφωση με τον παρόντα κανονισμό, με άλλες διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων και με τις πολιτικές του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της ανάθεσης αρμοδιοτήτων, της ευαισθητοποίησης και της κατάρτισης των υπαλλήλων που συμμετέχουν στις πράξεις επεξεργασίας, και των σχετικών ελέγχων·

[…]».

 Το γερμανικό δίκαιο

7        Το άρθρο 6 του Bundesdatenschutzgesetz (ομοσπονδιακού νόμου περί προστασίας δεδομένων) της 20ής Δεκεμβρίου 1990 (BGBl. 1990 I, σ. 2954), όπως ίσχυσε από τις 25 Μαΐου 2018 έως τις 25 Νοεμβρίου 2019 (BGBl. 2017 I, σ. 2097) (στο εξής: BDSG), το οποίο φέρει τον τίτλο «Θέση», ορίζει στην παράγραφο 4 τα εξής:

«Παύση της υπεύθυνης ή του υπεύθυνου προστασίας δεδομένων επιτρέπεται μόνον κατ’ ανάλογη εφαρμογή του άρθρου 626 του Bürgerliches Gesetzbuch [(Αστικού Κώδικα), όπως δημοσιεύθηκε στις 2 Ιανουαρίου 2002 (BGBl. 2002 I, σ. 42, και διορθωτικά BGBl. 2002 I, σ. 2909, και BGBl. 2003 I, σ. 738)]. Καταγγελία της σχέσεως εργασίας δεν επιτρέπεται, εκτός αν υφίστανται πραγματικά περιστατικά τα οποία παρέχουν στον δημόσιο φορέα δικαίωμα καταγγελίας για σπουδαίο λόγο χωρίς τήρηση προθεσμίας προειδοποίησης. Μετά τη λήξη της άσκησης καθηκόντων υπεύθυνης ή υπεύθυνου προστασίας δεδομένων απαγορεύεται για διάστημα ενός έτους η καταγγελία της σχέσεως εργασίας, εκτός αν ο δημόσιος φορέας έχει δικαίωμα καταγγελίας για σπουδαίο λόγο χωρίς τήρηση προθεσμίας προειδοποίησης.»

8        Το άρθρο 38 του BDSG, που φέρει τον τίτλο «Υπεύθυνοι προστασίας δεδομένων ιδιωτικών φορέων», προβλέπει τα εξής:

«(1)      Συμπληρωματικά προς το άρθρο 37, παράγραφος 1, στοιχεία βʹ και γʹ, του [ΓΚΠΔ], ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία ορίζουν υπεύθυνη ή υπεύθυνο προστασίας δεδομένων, εφόσον κατά κανόνα απασχολούν, σε μόνιμη βάση, τουλάχιστον δέκα άτομα για την αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα. […]

(2)      Το άρθρο 6, παράγραφος 4, παράγραφος 5, δεύτερη περίοδος, και παράγραφος 6, έχει εφαρμογή· εντούτοις, το άρθρο 6, παράγραφος 4, εφαρμόζεται μόνον εάν ο ορισμός υπεύθυνης ή υπεύθυνου προστασίας δεδομένων είναι υποχρεωτικός.»

9        Το άρθρο 134 του Αστικού Κώδικα, όπως δημοσιεύθηκε στις 2 Ιανουαρίου 2002 (στο εξής: Αστικός Κώδικας), το οποίο φέρει τον τίτλο «Απαγόρευση εκ του νόμου», έχει ως εξής:

«Δικαιοπραξία που αντιβαίνει σε απαγορευτική διάταξη νόμου είναι άκυρη εκτός εάν νόμος άλλως ορίζει.»

10      Το άρθρο 626 του Αστικού Κώδικα, που φέρει τον τίτλο «Έκτακτη καταγγελία για σπουδαίο λόγο», ορίζει τα εξής:

«(1)      Καθένας από τους συμβαλλομένους μπορεί να καταγγείλει τη σχέση εργασίας για σπουδαίο λόγο χωρίς τήρηση προθεσμίας, εφόσον από τα γεγονότα, λαμβανομένων υπόψη όλων των περιστάσεων κάθε περιπτώσεως και κατόπιν σταθμίσεως των συμφερόντων αμφοτέρων των συμβαλλομένων, προκύπτει ότι η εξακολούθηση της σχέσης εργασίας έως τη λήξη της προθεσμίας προειδοποίησης ή έως τον συνομολογηθέντα χρόνο λήξης της σχέσης εργασίας δεν μπορεί ευλόγως να απαιτείται από τον καταγγέλλοντα.

(2)      Η καταγγελία μπορεί να γίνεται αποκλειστικώς εντός διαστήματος δύο εβδομάδων. Η προθεσμία αρχίζει να τρέχει από τον χρόνο κατά τον οποίο ο έχων δικαίωμα καταγγελίας έλαβε γνώση των περιστατικών που είναι κρίσιμα για την καταγγελία. […]»

 Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα

11      Η Leistritz είναι εταιρία ιδιωτικού δικαίου η οποία υποχρεούται δυνάμει του γερμανικού δικαίου να ορίζει υπεύθυνο προστασίας δεδομένων. Η LH εργάστηκε στη Leistritz από τις 15 Ιανουαρίου 2018 ως «προϊσταμένη της υπηρεσίας νομικών υποθέσεων» και από την 1η Φεβρουαρίου 2018 ως υπεύθυνη προστασίας δεδομένων.

12      Με έγγραφο της 13ης Ιουλίου 2018, η Leistritz προέβη σε τακτική καταγγελία της σχέσης εργασίας με την LH με ισχύ από τις 15 Αυγούστου 2018, επικαλούμενη μέτρο αναδιάρθρωσης της εταιρίας, στο πλαίσιο του οποίου η εσωτερική δραστηριότητα παροχής νομικών συμβουλών και η υπηρεσία προστασίας των δεδομένων ανατίθεντο σε εξωτερικό πάροχο υπηρεσιών.

13      Τα δικαστήρια της ουσίας ενώπιον των οποίων προσέφυγε η LH αμφισβητώντας το κύρος της απόλυσής της έκριναν ότι η απόλυση ήταν άκυρη διότι, βάσει των συνδυασμένων διατάξεων του άρθρου 38, παράγραφος 2, και του άρθρου 6, παράγραφος 4, δεύτερη περίοδος, του BDSG, η LH, ως υπεύθυνη προστασίας δεδομένων, μπορούσε να απολυθεί μόνο με έκτακτη καταγγελία για σπουδαίο λόγο. Το δε περιγραφέν από τη Leistritz μέτρο αναδιάρθρωσης δεν συνιστά σπουδαίο λόγο.

14      Το αιτούν δικαστήριο, επιληφθέν της αναιρέσεως (Revision) που άσκησε η Leistritz, παρατηρεί ότι, βάσει του γερμανικού δικαίου, η απόλυση της LH είναι άκυρη, κατ’ εφαρμογήν των ως άνω διατάξεων και του άρθρου 134 του Αστικού Κώδικα. Επισημαίνει εντούτοις ότι η δυνατότητα εφαρμογής του άρθρου 38, παράγραφος 2, και του άρθρου 6, παράγραφος 4, δεύτερη περίοδος, του BDSG εξαρτάται από το κατά πόσον το δίκαιο της Ένωσης και ειδικότερα το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ δεν αντιτίθενται σε ρύθμιση κράτους μέλους κατά την οποία η απόλυση του υπεύθυνου προστασίας δεδομένων υπόκειται σε αυστηρότερες προϋποθέσεις από εκείνες τις οποίες προβλέπει το δίκαιο της Ένωσης. Εάν η εθνική ρύθμιση δεν συμβιβάζεται με το δίκαιο της Ένωσης, το αιτούν δικαστήριο θα πρέπει να δεχθεί την αίτηση αναιρέσεως.

15      Το αιτούν δικαστήριο διευκρινίζει ότι οι αμφιβολίες του οφείλονται ιδίως στην ύπαρξη αποκλίσεων στο πλαίσιο της εθνικής θεωρίας. Αφενός, κατά την κρατούσα γνώμη, η ειδική προστασία από την απόλυση που προβλέπουν οι συνδυασμένες διατάξεις του άρθρου 38, παράγραφος 2, και του άρθρου 6, παράγραφος 4, δεύτερη περίοδος, του BDSG συνιστά ουσιαστικό κανόνα του εργατικού δικαίου, σε σχέση με τον οποίο η Ένωση δεν διαθέτει νομοθετική αρμοδιότητα, οπότε οι εν λόγω διατάξεις δεν αντιβαίνουν στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ. Αφετέρου, κατά τη γνώμη της μειοψηφίας, η διασύνδεση της προστασίας αυτής με τη θέση του υπεύθυνου προστασίας δεδομένων έρχεται σε σύγκρουση με το δίκαιο της Ένωσης και δημιουργεί οικονομική πίεση ούτως ώστε ο υπεύθυνος προστασίας δεδομένων να παραμείνει για μεγάλο χρονικό διάστημα στη θέση του άπαξ και οριστεί.

16      Υπό τις συνθήκες αυτές, το Bundesarbeitsgericht (Ομοσπονδιακό Δικαστήριο Εργατικών Διαφορών, Γερμανία) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:

«1)      Έχει το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του [ΓΚΠΔ] την έννοια ότι αντιτίθεται σε διάταξη του εθνικού δικαίου, όπως, στην παρούσα υπόθεση, το άρθρο 38, παράγραφος 1 και παράγραφος 2, σε συνδυασμό με το άρθρο 6, παράγραφος 4, δεύτερη περίοδος, του BDSG, η οποία χαρακτηρίζει ως παράνομη την τακτική καταγγελία της σχέσεως εργασίας του υπεύθυνου για την προστασία των δεδομένων από τον υπεύθυνο επεξεργασίας, ο οποίος είναι εργοδότης του, ανεξαρτήτως του αν η καταγγελία γίνεται λόγω της εκτέλεσης των καθηκόντων του πρώτου;

2)      Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα:

Αντιτίθεται το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ σε διάταξη του εθνικού δικαίου με το ανωτέρω περιεχόμενο ακόμη και σε περίπτωση που ο ορισμός του υπεύθυνου προστασίας δεδομένων δεν είναι υποχρεωτικός βάσει του άρθρου 37, παράγραφος 1, του ΓΚΠΔ, αλλά μόνον βάσει του δικαίου του κράτους μέλους;

3)      Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα:

Θεμελιώνεται το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ σε επαρκή εξουσιοδοτική βάση, ιδίως στο μέτρο που αφορά υπεύθυνους προστασίας δεδομένων οι οποίοι συνδέονται με τον υπεύθυνο επεξεργασίας με σχέση εργασίας;»

 Επί των προδικαστικών ερωτημάτων

 Επί του πρώτου προδικαστικού ερωτήματος

17      Με το πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί, κατ’ ουσίαν, να διευκρινιστεί αν το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ έχει την έννοια ότι αντιτίθεται σε εθνική νομοθεσία κατά την οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να απολύσει τον υπεύθυνο προστασίας δεδομένων ο οποίος είναι μέλος του προσωπικού του μόνο για σπουδαίο λόγο, ακόμη και αν η απόλυση δεν συνδέεται με την άσκηση των καθηκόντων του υπεύθυνου προστασίας δεδομένων.

18      Κατά πάγια νομολογία, για την ερμηνεία διατάξεως του δικαίου της Ένωσης πρέπει να λαμβάνεται υπόψη όχι μόνον το γράμμα της κατά τη συνήθη έννοιά του στην καθομιλουμένη, αλλά και το πλαίσιο στο οποίο εντάσσεται καθώς και οι σκοποί που επιδιώκονται με τη ρύθμιση της οποίας αποτελεί μέρος (απόφαση της 22ας Φεβρουαρίου 2022, Stichting Rookpreventie Jeugd κ.λπ., C‑160/20, EU:C:2022:101, σκέψη 29 και εκεί μνημονευόμενη νομολογία).

19      Κατά πρώτον, όσον αφορά το γράμμα της επίμαχης διάταξης, υπενθυμίζεται ότι το άρθρο 38, παράγραφος 3, του ΓΚΠΔ ορίζει, στη δεύτερη περίοδο, ότι «[ο υπεύθυνος προστασίας δεδομένων] [δ]εν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του».

20      Εκ προοιμίου, επισημαίνεται ότι ο ΓΚΠΔ δεν ορίζει τους διαλαμβανόμενους στο ως άνω άρθρο 38, παράγραφος 3, δεύτερη περίοδος, όρους «απολύεται», «υφίσταται κυρώσεις» και «επειδή επιτέλεσε τα καθήκοντά του».

21      Πλην όμως, πρώτον, κατά την έννοια που έχουν οι όροι αυτοί στην καθομιλουμένη, η απαγόρευση προς τον υπεύθυνο επεξεργασίας ή προς τον εκτελούντα την επεξεργασία να απολύσει τον υπεύθυνο προστασίας δεδομένων ή να του επιβάλει κυρώσεις σημαίνει, όπως επισήμανε ο γενικός εισαγγελέας, κατ’ ουσίαν, στα σημεία 24 και 26 των προτάσεών του, ότι ο υπεύθυνος προστασίας δεδομένων πρέπει να προστατεύεται από κάθε απόφαση με την οποία παύεται ή περιέρχεται σε μειονεκτική θέση ή η οποία στοιχειοθετεί κύρωση.

22      Συναφώς, είναι ικανό να αποτελέσει τέτοια απόφαση το μέτρο απόλυσης του υπεύθυνου προστασίας δεδομένων το οποίο λαμβάνει ο εργοδότης του και το οποίο θέτει τέλος στη σχέση εργασίας που υφίσταται μεταξύ του ιδίου και του εργοδότη καθώς και, συνακόλουθα, στην άσκηση καθηκόντων υπεύθυνου προστασίας δεδομένων στην οικεία επιχείρηση.

23      Δεύτερον, διαπιστώνεται ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ ισχύει αδιακρίτως τόσο για τον υπεύθυνο προστασίας δεδομένων ο οποίος είναι μέλος του προσωπικού του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία όσο και για τον υπεύθυνο προστασίας δεδομένων που ασκεί τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών που έχει συνάψει με τον εν λόγω υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία κατά τα οριζόμενα στο άρθρο 37, παράγραφος 6, του ΓΚΠΔ.

24      Επομένως, το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ έχει εφαρμογή στις σχέσεις μεταξύ του υπεύθυνου προστασίας δεδομένων και του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία ανεξάρτητα από τη φύση της σχέσης βάσει της οποίας ο πρώτος παρέχει την εργασία του στους δεύτερους.

25      Τρίτον, επισημαίνεται ότι η ως άνω διάταξη θέτει ένα όριο το οποίο συνίσταται, όπως υπογράμμισε κατ’ ουσίαν ο γενικός εισαγγελέας στο σημείο 29 των προτάσεών του, στην απαγόρευση της απόλυσης του υπεύθυνου προστασίας δεδομένων για λόγο που αντλείται από την άσκηση των καθηκόντων του, τα οποία περιλαμβάνουν, ειδικότερα, δυνάμει του άρθρου 39, παράγραφος 1, στοιχείο βʹ, του ΓΚΠΔ, την παρακολούθηση της συμμόρφωσης με τις διατάξεις της Ένωσης ή του κράτους μέλους σχετικά με την προστασία δεδομένων, καθώς και με τις πολιτικές του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα.

26      Κατά δεύτερον, όσον αφορά τον σκοπό που επιδιώκει το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, υπογραμμίζεται, πρώτον, ότι η αιτιολογική σκέψη 97 του ΓΚΠΔ ορίζει ότι οι υπεύθυνοι προστασίας δεδομένων, ανεξάρτητα από το κατά πόσον είναι υπάλληλοι του υπεύθυνου επεξεργασίας, θα πρέπει να είναι σε θέση να εκτελούν τις υποχρεώσεις και τα καθήκοντά τους κατά τρόπο ανεξάρτητο. Συναφώς, η εν λόγω ανεξαρτησία πρέπει κατ’ ανάγκην να τους παρέχει τη δυνατότητα να ασκούν τα ως άνω καθήκοντα σύμφωνα με τον σκοπό του ΓΚΠΔ, ο οποίος αποβλέπει, μεταξύ άλλων, όπως προκύπτει από την αιτιολογική σκέψη του 10, στη διασφάλιση υψηλού επιπέδου προστασίας των φυσικών προσώπων εντός της Ένωσης και στη διασφάλιση, για τον σκοπό αυτόν, της συνεκτικής και ομοιόμορφης εφαρμογής των κανόνων για την προστασία των θεμελιωδών δικαιωμάτων και των ελευθεριών των προσώπων αυτών έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C‑512/18 και C‑520/18, EU:C:2020:791, σκέψη 207 και εκεί μνημονευόμενη νομολογία).

27      Δεύτερον, ο σκοπός διασφάλισης της λειτουργικής ανεξαρτησίας του υπεύθυνου προστασίας δεδομένων, ο οποίος προκύπτει από το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, συνάγεται επίσης από την πρώτη και την τρίτη περίοδο του εν λόγω άρθρου 38, παράγραφος 3, στις οποίες προβλέπεται ότι ο υπεύθυνος προστασίας δεδομένων δεν πρέπει να λαμβάνει εντολές για την άσκηση των καθηκόντων του και ότι πρέπει να λογοδοτεί απευθείας στο ανώτατο διοικητικό επίπεδο του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, καθώς και από την παράγραφο 5 του ίδιου άρθρου 38, η οποία προβλέπει, όσον αφορά την άσκηση των εν λόγω καθηκόντων, ότι ο υπεύθυνος προστασίας δεδομένων δεσμεύεται από την τήρηση του απορρήτου ή της εμπιστευτικότητας.

28      Επομένως, το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, στο μέτρο που προστατεύει τον υπεύθυνο προστασίας δεδομένων από οποιαδήποτε απόφαση με την οποία παύεται ή περιέρχεται σε μειονεκτική θέση ή η οποία στοιχειοθετεί κύρωση, σε περίπτωση που μια τέτοια απόφαση συνδέεται με την άσκηση των καθηκόντων του, πρέπει να θεωρείται ότι αποσκοπεί κατά βάση στη διαφύλαξη της λειτουργικής ανεξαρτησίας του υπεύθυνου προστασίας δεδομένων και, επομένως, στη διασφάλιση της αποτελεσματικότητας των διατάξεων του ΓΚΠΔ. Αντιθέτως, η διάταξη αυτή δεν έχει ως σκοπό να ρυθμίσει συνολικά τις εργασιακές σχέσεις μεταξύ υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία και μελών του προσωπικού του, οι οποίες δεν μπορούν να επηρεαστούν παρά μόνον παρεμπιπτόντως, στο μέτρο που τούτο είναι απολύτως αναγκαίο για την επίτευξη των ως άνω σκοπών.

29      Η ερμηνεία αυτή επιρρωννύεται, τρίτον, από το πλαίσιο στο οποίο εντάσσεται η εν λόγω διάταξη και, ειδικότερα, από τη νομική βάση στην οποία στηρίχθηκε ο νομοθέτης της Ένωσης για να εκδώσει τον ΓΚΠΔ.

30      Ειδικότερα, από το προοίμιο του ΓΚΠΔ προκύπτει ότι ο εν λόγω κανονισμός εκδόθηκε επί τη βάσει του άρθρου 16 ΣΛΕΕ, του οποίου η παράγραφος 2 προβλέπει, μεταξύ άλλων, ότι το Ευρωπαϊκό Κοινοβούλιο και το Συμβούλιο της Ευρωπαϊκής Ένωσης, αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία, θεσπίζουν τους κανόνες, αφενός, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα και τους οργανισμούς της Ένωσης, καθώς και από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του δικαίου της Ένωσης, και, αφετέρου, σχετικά με την ελεύθερη κυκλοφορία των δεδομένων αυτών.

31      Αντιθέτως, εκτός του πλαισίου της ειδικής προστασίας του υπεύθυνου προστασίας δεδομένων την οποία προβλέπει το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, η θέσπιση κανόνων σχετικά με την προστασία από την απόλυση ενός υπεύθυνου προστασίας δεδομένων που απασχολείται από τον υπεύθυνο επεξεργασίας ή από τον εκτελούντα την επεξεργασία δεν ανάγεται στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα ή στην ελεύθερη κυκλοφορία των δεδομένων αυτών, αλλά στον τομέα της κοινωνικής πολιτικής.

32      Συναφώς, υπενθυμίζεται, αφενός, ότι, βάσει του άρθρου 4, παράγραφος 2, στοιχείο βʹ, ΣΛΕΕ, η Ένωση έχει, στο τομέα της κοινωνικής πολιτικής και για τις πτυχές που καθορίζονται στη Συνθήκη ΛΕΕ, συντρέχουσα αρμοδιότητα με τα κράτη μέλη, κατά την έννοια του άρθρου 2, παράγραφος 2, ΣΛΕΕ. Αφετέρου, όπως διευκρινίζει το άρθρο 153, παράγραφος 1, στοιχείο δʹ, ΣΛΕΕ, η Ένωση υποστηρίζει και συμπληρώνει τη δράση των κρατών μελών στον τομέα της προστασίας των εργαζομένων σε περίπτωση καταγγελίας της σύμβασης εργασίας (βλ., κατ’ αναλογίαν, απόφαση της 19ης Νοεμβρίου 2019, TSN και AKT, C‑609/17 και C‑610/17, EU:C:2019:981, σκέψη 47).

33      Πάντως, όπως προκύπτει από το άρθρο 153, παράγραφος 2, στοιχείο βʹ, ΣΛΕΕ, το Κοινοβούλιο και το Συμβούλιο δύνανται να θεσπίζουν ελάχιστες προδιαγραφές στον εν λόγω τομέα μέσω της έκδοσης οδηγιών, ενώ, κατά τη νομολογία του Δικαστηρίου και βάσει του άρθρου 153, παράγραφος 4, ΣΛΕΕ, τέτοιες ελάχιστες προδιαγραφές δεν εμποδίζουν την εκ μέρους των κρατών μελών διατήρηση ή θέσπιση αυστηρότερων προστατευτικών μέτρων, τα οποία συμβιβάζονται με τις Συνθήκες (πρβλ. απόφαση της 19ης Νοεμβρίου 2019, TSN και AKT, C‑609/17 και C‑610/17, EU:C:2019:981, σκέψη 48).

34      Επομένως, όπως υπογράμμισε κατ’ ουσίαν ο γενικός εισαγγελέας στο σημείο 44 των προτάσεών του, κάθε κράτος μέλος μπορεί να προβλέπει ελεύθερα, στο πλαίσιο της άσκησης της αρμοδιότητας που εξακολουθεί να έχει, ειδικές διατάξεις που να παρέχουν μεγαλύτερη προστασία από την απόλυση του υπεύθυνου προστασίας δεδομένων, υπό την προϋπόθεση ότι οι διατάξεις αυτές συμβιβάζονται με το δίκαιο της Ένωσης και ειδικότερα με τις διατάξεις του ΓΚΠΔ, ιδίως δε με το άρθρο 38, παράγραφος 3, δεύτερη περίοδος.

35      Ειδικότερα, όπως επισήμανε ο γενικός εισαγγελέας στα σημεία 50 και 51 των προτάσεών του, μια τέτοια αυξημένη προστασία δεν μπορεί να υπονομεύσει την επίτευξη των στόχων του ΓΚΠΔ. Τούτο όμως θα συνέβαινε αν η εν λόγω προστασία εμπόδιζε πλήρως την απόλυση, εκ μέρους υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία, ενός υπεύθυνου προστασίας δεδομένων ο οποίος δεν διαθέτει πλέον τις επαγγελματικές ικανότητες που απαιτούνται για την άσκηση των καθηκόντων του ή ο οποίος δεν εκπληρώνει τα καθήκοντα αυτά σύμφωνα με τις διατάξεις του ΓΚΠΔ.

36      Βάσει των ανωτέρω σκέψεων, στο πρώτο προδικαστικό ερώτημα πρέπει να δοθεί η απάντηση ότι το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ έχει την έννοια ότι δεν αντιτίθεται σε εθνική νομοθεσία κατά την οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να απολύσει τον υπεύθυνο προστασίας δεδομένων ο οποίος είναι μέλος του προσωπικού του μόνο για σπουδαίο λόγο, ακόμη και αν η απόλυση δεν συνδέεται με την άσκηση των καθηκόντων του υπεύθυνου προστασίας δεδομένων, υπό την προϋπόθεση ότι μια τέτοια νομοθεσία δεν υπονομεύει την επίτευξη των στόχων του ΓΚΠΔ.

 Επί του δευτέρου και του τρίτου προδικαστικού ερωτήματος

37      Δεδομένης της απάντησης στο πρώτο προδικαστικό ερώτημα, παρέλκει η απάντηση στο δεύτερο και στο τρίτο.

 Επί των δικαστικών εξόδων

38      Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.

Για τους λόγους αυτούς, το Δικαστήριο (πρώτο τμήμα) αποφαίνεται:

Το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων), έχει την έννοια ότι δεν αντιτίθεται σε εθνική νομοθεσία κατά την οποία ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να απολύσει τον υπεύθυνο προστασίας δεδομένων ο οποίος είναι μέλος του προσωπικού του μόνο για σπουδαίο λόγο, ακόμη και αν η απόλυση δεν συνδέεται με την άσκηση των καθηκόντων του υπεύθυνου προστασίας δεδομένων, υπό την προϋπόθεση ότι μια τέτοια νομοθεσία δεν υπονομεύει την επίτευξη των στόχων του ως άνω κανονισμού.

(υπογραφές)

Πηγή