Förslag till avgörande av generaladvokat Jean Richard de la Tour föredraget den 27 januari 2022
1 Originalspråk: franska.
2 EUT L 119, 2016, s. 1 och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35.
3 BGBl. 1990 I, s. 2954.
4 BGBl. 2017 I, s. 2097 (nedan kallad BDSG).
5 I 38 § 1 första meningen BDSG, i den lydelse som gäller sedan den 26 november 2019, har antalet sysselsatta höjts till 20.
6 BGBl. 2002 I, s. 42, rättelse, s. 2909, och BGBl. 2003 I, s. 738.
7 Den hänskjutande domstolen har tillagt att enligt dess praxis utgör det inte synnerliga skäl för en avsättning att företagets dataskydd på grund av en organisatorisk ändring i framtiden ska säkerställas av ett externt dataskyddsombud (se dom meddelad av Bundesarbeitsgericht (Federala arbetsdomstolen) 10 AZR 562/09, av den 23 mars 2011, punkt 18, tillgänglig på följande webbadress: https://www.bundesarbeitsgericht.de/entscheidung/10-azr-562–09/).
8 Artikel 37 i förordningen.
9 Artikel 38 i förordningen.
10 Artikel 39 i samma förordning.
11 Se, bland annat, dom av den 12 maj 2021, Bundesrepublik Deutschland (Rött meddelande från Interpol) ( C‑505/19, EU:C:2021:376, punkt 77).
12 Min kursivering.
13 I [r]iktlinjer[na] om dataskyddsombud, som antogs den 13 december 2016 och som granskades den 5 april 2017, tillgängliga på webbadressen https://ec.europa.eu/newsroom/article29/items/612048/en, preciserade arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter, som inrättades genom artikel 29 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 13) (nedan kallad Artikel 29-arbetsgruppen) följande: Sanktioner kan ha olika former och vara direkta eller indirekta. De kan till exempel bestå i att den berörda personen inte blir befordrad eller att befordran dröjer, att personen förhindras att gå vidare i karriären, eller inte får förmåner som andra anställda får. Sanktionerna behöver inte förverkligas – bara ett hot är tillräckligt om de används för att bestraffa dataskyddsombudet av skäl som har samband med verksamheten som dataskyddsombud (s. 18 och 19). Sedan förordning 2016/679 trädde i kraft har arbetsgruppen ersatts av Europeiska dataskyddsstyrelsen (EDPB). Styrelsen godkände riktlinjerna om dataskyddsombud vid sitt första möte i plenum den 25 maj 2018 (se https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf).
14 Såsom LH har understrukit anges det, utöver i den tyska språkversionen av artikel 38.3 andra meningen i förordning 2016/679 (abberufen), tydligt i andra språkversioner, såsom den spanska (destituido), den franska (relevé) eller den portugisiska (destituído), att förordningen avser den omständigheten att dataskyddsombudets ställning upphör och inte anställningsförhållandet (kündigen på tyska). Se även den engelska språkversionen (dismissed), den italienska språkversionen (rimosso, den polska (odwoływany) och den rumänska språkversionen (demis).
15 Se not från ordförandeskapet för Europeiska unionens råd av den 3 oktober 2014 om förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) [första behandlingen] – Kapitel IV, tillgänglig på webbadressen https://data.consilium.europa.eu/doc/document/ST-13772–2014-INIT/fr/pdf, angående tillägget i artikel 36.3 i förslaget för att inte dataskyddsombudet skulle kunna bli föremål för påföljder för att ha utfört sina arbetsuppgifter (s. 34). Se även rådets ståndpunkt vid första behandlingen inför antagandet av rådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EC (allmän dataskyddsförordning), av den 6 april 2016, som är tillgänglig på webbadressen https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT&from=FR, genom vilken den nuvarande lydelsen av artikel 38 i förordning 2016/679 antogs.
16 Uttrycket på ett oberoende sätt förekommer i den sista meningen i skäl 97 i förordning 2016/679.
17 EUT L 295, 2018, s. 39.
18 Se artikel 37.6 i förordning 2016/679.
19 Se rådets ståndpunkt vid första behandlingen inför antagandet av Europaparlamentets och rådets förordning om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän dataskyddsförordning) och om upphävande av direktiv 95/46/EG - Utkast till rådets motivering, av den 31 mars 2016, som är tillgänglig på följande webbadress: https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5419_2016_ADD_1_REV_1&from=FR (s. 22). När det gäller dataskyddsombudets huvudsakliga roll vid tillämpningen av förordning 2016/679, se skäl 97 i förordningen och ombudets uppgifter som fastställs artikel 39 i förordningen. Artikel 29-arbetsgruppen erinrade i sina riktlinjer om dataskyddsombud om att innan förordning 2016/679 antogs hävdade den att dataskyddsombudet var en hörnsten för ansvarsskyldigheten, och att utnämnande av ett dataskyddsombud underlätt[ade] efterlevnaden (s. 5). Arbetsgruppen påpekade även att förordningen erkänner dataskyddsombud som viktiga aktörer i det nya dataförvaltningssystemet (s. 6). Se, som ett exempel på den personuppgiftsansvariges eller personuppgiftsbiträdets behov av information som dataskyddsombudet ska tillgodose, dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 134).
20 Se artikel 38.3 den första och den tredje meningen i förordning 2016/679.
21 Se artikel 38.5 i förordning 2016/679.
22 Se ingressen och skäl 12 i förordning 2016/679 samt dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkt 44).
23 Se mitt förslag till avgörande i målet Facebook Ireland ( C‑319/20, EU:C:2021:979, punkt 51).
24 I detta sammanhang anser jag att artikel 88.1 i förordningen inte kan användas som argument för att anse att den utgör en öppningsklausul.
25 Se mitt förslag till avgörande i målet Facebook Ireland ( C‑319/20, EU:C:2021:979, punkt 51).
26 Se punkt 31 ovan.
27 Se, bland annat, när det gäller förordning 2016/679, mitt förslag till avgörande i målet Facebook Ireland ( C‑319/20, EU:C:2021:979, punkt 52).
28 Se mitt förslag till avgörande i målet Facebook Ireland ( C‑319/20, EU:C:2021:979, punkt 52). Dessutom har jag redan, i punkt 55 i det förslaget, påpekat för domstolen att förordning 2016/679 innehåller flera öppningsklausuler genom vilka förordningen uttryckligen överför den normativa behörigheten till medlemsstaterna, vilket gör det möjligt att särskilja den från en traditionell förordning och gör att den närmar sig ett direktiv.
29 Såsom har understrukits av Bielak-Jomaa, E., Artykuł 38. Status inspektora ochrony danych, i Bielak-Jomaa, E., och Lubasz, D., RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer, Warszawa, 2018, s. 794–806, särskilt punkt 5 fjärde stycket, har inte Artikel 29-arbetsgruppen angett något kriterium som skulle kunna vara användbart för att avgöra huruvida dataskyddsombudets uppgifter har utförts korrekt eller felaktigt. På samma sätt har Foret, O., Le rôle du DPO, i Bensamoun, A., och Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, s. 233– 239, särskilt s. 235 och 236 påpekat att ”EDPB har i sina riktlinjer preciserat att … ’[d]en sakkunskapsnivå som krävs definieras inte strikt, men måste ändå stå i proportion till mängden behandlade uppgifter samt till hur känsliga och komplexa de uppgifter är som en organisation behandlar (se riktlinjerna om dataskyddsombud (s.13)). Se även s. 14 i riktlinjerna. Se dessutom punkterna 50–51 ovan.
30 Se Bergt, M., Art 38. Stellung des Datenschutzbeauftragten, i Kühling, J., och Buchner, B., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, Kommentar, tredje upplagan, C.H. Beck, München, 2020, särskilt punkt 29. Författaren har understrukit att [t]ill skillnad från kommissionen och parlamentets förslag föreskrivs det inte i artikel 38 någon lägsta mandattid under vilken dataskyddsombudet ska vara utnämnt (fri översättning).
31 Se ovan punkterna 31 och 32. Det kan tilläggas att unionslagstiftaren avsiktligen valde detta genom att inte välja Europeiska ekonomiska och sociala kommitténs förslag under lagstiftningsarbetet med förordning 2016/679, vilket syftade till att på ett bättre sätt förtydliga [f]örutsättningarna för uppgiftsskyddsombudets arbete … särskilt vad gäller skyddet mot uppsägning, som bör vara tydligt definierat och sträcka sig längre än den period under vilken personen i fråga innehar denna befattning: Se punkt 4.11.1 i yttrande från Europeiska ekonomiska och sociala kommittén om Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (EUT C 229, 2012, s. 90).
32 Se, bland annat, den information som finns tillgänglig på följande webbadresser: https://www.dlapiperdataprotection.com/index.html?t=data-protection-officers&c=HR&c2= och https://www.dataprotection.ro/index.jsp?page=Responsabilul_cu_protectia_datelor&lang=en.
33 Så är fallet med Konungariket Danmark, Irland, Republiken Kroatien, Republiken Italien, Republiken Cypern, Republiken Malta, Konungariket Nederländerna, Republiken Österrike, Republiken Polen, Republiken Portugal, Rumänien och Republiken Finland. I Republiken Kroatien, Republiken Malta och Republiken Polen, liksom i Republiken Bulgarien, ska avsättning eller ändring av dataskyddsombud anmälas till den nationella myndigheten för skydd av personuppgifter. I vissa medlemsstater, såsom Republiken Frankrike och Storhertigdömet Luxemburg, har det preciserats att uppgiftsskyddsombudet inte har ställning som skyddad anställd, vilket skulle ge en ytterligare garanti än den som föreskrivs i förordning 2016/679.
34 Se, i den belgiska lagen, artikel 6 tredje stycket i arrêté royal relatif aux conseillers en sécurité et en protection de la vie privée et à la plate-forme de la sécurité et de la protection des données, du 6 décembre 2015, (den kungliga kungörelsen av den 6 december 2015 om säkerhets- och integritetsrådgivare och plattformar för säkerhet och dataskydd) (Moniteur belge av den 28 december 2015, s. 79268), som var gällande innan förordning 2016/679 trädde i kraft, enligt vilken [e]n arbetsgivare eller behörig myndighet endast får säga upp rådgivaren, avbryta rådgivarens lagstadgade tjänst eller flytta personen från dess ställning på grund av skäl som inte är hänförliga till hans eller hennes oberoende eller på grund av skäl som visar att han eller hon inte är behörig att utföra uppgifterna. Min kursivering. Se även, i den spanska lagen, artikel 36.2 i Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitale (lag nr 3/2018 om skydd för personuppgifter och för digitala rättigheter) av den 5 december 2018 (BOE nr 294, av den 6 december 2018, s. 119788)), där det föreskrivs att [o]m dataskyddsombudet är en fysisk person inom den personuppgiftsansvariges och personuppgiftsbiträdets organisation, kan personen inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter, förutom i fråga om ett avsiktligt åsidosättande eller grovt åsidosättande som skett av oaktsamhet vid utförandet av uppgifterna …. Min kursivering.
35 Se riktlinjerna om dataskyddsombud (s. 19). Min kursivering.
36 Se, för ett liknande resonemang, Fajgielski, P., Artykuł 38. Status inspektora ochrony danych, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Wolters Kluwer, Warszawa, 2018, s. 430–437, särskilt femte stycket, femte meningen. Se, även, Kremer, S., § 6 Datenschutzbeauftragter, i Laue, P., Nink, J. och Kremer, S., Das neue Datenschutzrecht in der betrieblichen Praxis, andra upplagan, Nomos, Baden-Baden, 2019, särskilt punkt 36, och Bergt, M., Art 38. Stellung des Datenschutzbeauftragten, anfört arbete, särskilt punkt 30 och Bussche, A., Art. 38 DSGVO, i Plath, K.-U., DSGVO/BDSG, Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, tredje upplagan, Otto Schmidt, Köln, 2018, särskilt punkt 19.
37 Se ovan fotnot 7.
38 Se ovan punkterna 31, 60 och 61.
39 Se punkt 31 ovan. Se även målen X-FAB Dresden (C‑453/21) och KISA (C‑560/21), som ännu inte avgjorts av domstolen, i vilka två olika avdelningar vid Bundesarbeitsgericht (Federala arbetsdomstolen) har hänskjutit samma tolkningsfrågor, men i fall där avsättningen skett på grund av intressekonflikter. I det första målet avser en ytterligare fråga kriterierna för en sådan konflikt.
40 Se, för ett liknande resonemang, Kremer, S., § 6 Datenschutzbeauftragter, anfört arbete, särskilt punkt 35, och Bussche, A., Art. 38 DSGVO, anfört arbete, särskilt punkt 17.
41 Se punkt 34 ovan.
42 Yttrande 1/15 (Avtal om passageraruppgifter mellan EU och Kanada), av den 26 juli 2017 ( EU:C:2017:592, punkt 96).
43 Se dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkterna 44, 45 och 91).
44 Se, för ett liknande resonemang, dom av den 15 juni 2021, Facebook Ireland m.fl. ( C‑645/19, EU:C:2021:483, punkt 45 och, analogt, punkt 47).
45 Se ovan fotnot 19 fjärde meningen.