Wyrok z dnia 2023-02-09 sygn. C-453/21

Drukuj dokument lub zaznaczenie Kopiuj zaznaczony tekst bez formatowania

WYROK TRYBUNAŁU (szósta izba)

z dnia 9 lutego 2023 r.

Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Rozporządzenie (UE) 2016/679 – Artykuł 38 ust. 3 – Inspektor ochrony danych – Zakaz odwołania z powodu wypełniania zadań – Wymóg niezależności funkcjonalnej – Przepisy krajowe zakazujące odwołania inspektora ochrony danych bez ważnej przyczyny – Artykuł 38 ust. 6 – Konflikt interesów – Kryteria

W sprawie C-453/21

mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Bundesarbeitsgericht (federalny sąd pracy, Niemcy) postanowieniem z dnia 27 kwietnia 2021 r., które wpłynęło do Trybunału w dniu 21 lipca 2021 r., w postępowaniu:

X‑FAB Dresden GmbH & Co. KG

przeciwko

FC,

TRYBUNAŁ (szósta izba),

w składzie: P.G. Xuereb, prezes izby, A. Kumin i I. Ziemele (sprawozdawczyni), sędziowie,

rzecznik generalny: J. Richard de la Tour,

sekretarz: D. Dittert, kierownik wydziału,

uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 26 września 2022 r.,

rozważywszy uwagi, które przedstawili:

–        w imieniu X‑FAB Dresden GmbH & Co. KG – S. Leese, Rechtsanwalt,

–        w imieniu FC – R. Buschmann i T. Heller, Prozessbevollmächtigte,

–        w imieniu rządu niemieckiego – J. Möller, D. Klebs i P.‑L. Krüger, w charakterze pełnomocników,

–        w imieniu Parlamentu Europejskiego – O. Hrstková Šolcová i B. Schäfer, w charakterze pełnomocników,

–        w imieniu Rady Unii Europejskiej – T. Haas i K. Pleśniak, w charakterze pełnomocników,

–        w imieniu Komisji Europejskiej – A. Bouchagiar, K. Herrmann i H. Kranenborg, w charakterze pełnomocników,

podjąwszy, po wysłuchaniu rzecznika generalnego, decyzję o rozstrzygnięciu sprawy bez opinii,

wydaje następujący

Wyrok

1        Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni i ważności art. 38 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; sprostowanie Dz.U. 2018, L 127, s. 2; zwanego dalej „RODO”), a także wykładni art. 38 ust. 6 tego rozporządzenia.

2        Wniosek ten został złożony w ramach sporu pomiędzy spółką X‑FAB Dresden GmbH & Co. KG (zwaną dalej „X‑FAB”) a jej pracownikiem FC w przedmiocie odwołania tego ostatniego przez X‑FAB z funkcji inspektora ochrony danych (IOD).

 Ramy prawne

 Prawo Unii

3        Motywy 10 i 97 RODO mają następujące brzmienie:

„(10)      Aby zapewnić wysoki i spójny stopień ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych w Unii [Europejskiej], należy zapewnić równorzędny we wszystkich państwach członkowskich stopień ochrony praw i wolności osób fizycznych w związku z przetwarzaniem takich danych. Należy zapewnić spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych […].

[…]

(97)      […] Tacy [IOD] – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.

4        Artykuł 37 RODO, zatytułowany „Wyznaczenie [IOD]”, stanowi w ust. 5 i 6:

„5.      [IOD] jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

6.      [IOD] może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać swoje zadania na podstawie umowy o świadczenie usług”.

5        Artykuł 38 RODO, zatytułowany „Status [IOD]”, przewiduje w ust. 3, 5 i 6:

„3.      Administrator oraz podmiot przetwarzający zapewniają, by [IOD] nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. [IOD] bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

[…]

5.      [IOD] jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

6.      [IOD] może wykonywać inne zadania i zadania. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.

6        Artykuł 39 RODO, zatytułowany „Zadania [IOD]”, ma następujące brzmienie:

„1.      [IOD] ma następujące zadania:

a)      informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b)      monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk [przepisów wewnętrznych] administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział[u] obowiązków, działa[ń] zwiększając[ych] świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązan[ych] z tym audyt[ów];

c)      udzielanie na wniosek porad co do oceny skutków w zakresie ochrony danych oraz monitorowanie jej wyników zgodnie z art. 35;

d)      współpraca z organem nadzorczym;

e)      pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2.      [IOD] wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania”.

 Prawo niemieckie

 BDSG

7        Paragraf 6 Bundesdatenschutzgesetz (federalnej ustawy o ochronie danych) z dnia 20 grudnia 1990 r. (BGBl. 1990 I, s. 2954), w brzmieniu obowiązującym od dnia 25 maja 2018 r. do dnia 25 listopada 2019 r. (BGBl. 2017 I, s. 2097) (zwanej dalej „BDSG”), zatytułowany „Status”, w ust. 4 stanowi:

„[IOD] może zostać odwołany z funkcji jedynie w ramach odpowiedniego stosowania § 626 Bürgerliches Gesetzbuch [(kodeksu cywilnego)] [w wersji opublikowanej w dniu 2 stycznia 2002 r. (BGBl. 2002 I, s. 42; sprostowania BGBl. 2002 I, s. 2909, i BGBl. 2003 I, s. 738)]. Wypowiedzenie stosunku pracy jest niedopuszczalne, chyba że występują okoliczności, które uprawniają organ publiczny do rozwiązania stosunku pracy z ważnej przyczyny bez zachowania okresu wypowiedzenia. Po zaprzestaniu pełnienia funkcji przez [IOD] rozwiązanie stosunku pracy jest niedopuszczalne przez okres jednego roku, chyba że organ publiczny jest uprawniony do wypowiedzenia z ważnej przyczyny bez zachowania okresu wypowiedzenia”.

8        Paragraf 38 BDSG, zatytułowany „[IOD] podmiotów niepublicznych”, stanowi:

„(1)      W uzupełnieniu do art. 37 ust. 1 lit. b) i c) RODO administrator i podmiot przetwarzający wyznaczają [IOD], jeżeli zwykle zatrudniają co najmniej dziesięć osób trwale przeznaczonych do automatycznego przetwarzania danych osobowych […].

(2)      Stosuje się § 6 ust. 4, ust. 5 zdanie drugie i ust. 6, niemniej § 6 ust. 4 ma zastosowanie tylko wtedy, gdy wyznaczenie [IOD] jest obowiązkowe”.

 Kodeks cywilny

9        Paragraf 626 kodeksu cywilnego, zatytułowany „Wypowiedzenie bez zachowania okresu wypowiedzenia z ważnej przyczyny”, stanowi:

„(1)      Każda ze stron może wypowiedzieć stosunek pracy z ważnej przyczyny bez zachowania terminu wypowiedzenia, jeżeli zachodzą okoliczności faktyczne, na podstawie których nie można racjonalnie oczekiwać od wypowiadającego, z uwzględnieniem wszystkich okoliczności konkretnego przypadku i przy wyważeniu interesów obu stron umowy, kontynuowania stosunku pracy do chwili upływu terminu wypowiedzenia lub do chwili uzgodnionego wygaśnięcia stosunku pracy.

(2)      Wypowiedzenie może zostać dokonane jedynie w ciągu dwóch tygodni. Termin rozpoczyna bieg w chwili, w której strona uprawniona do wypowiedzenia dowiedziała się o faktach mających znaczenie dla wypowiedzenia […]”.

 Postępowanie główne i pytania prejudycjalne

10      FC jest zatrudniony przez X‑FAB od dnia 1 listopada 1993 r.

11      Pełni on w tej spółce funkcję przewodniczącego rady zakładowej i z tego tytułu jest częściowo zwolniony z obowiązku świadczenia pracy. Zajmuje on ponadto funkcję wiceprzewodniczącego centralnej rady zakładowej przedsiębiorstwa utworzonej dla trzech przedsiębiorstw grupy spółek, do której należy X‑FAB, mających siedzibę w Niemczech.

12      Z dniem 1 czerwca 2015 r. FC został wyznaczony, przez każde przedsiębiorstwo odrębnie, jako IOD spółki X‑FAB, jej spółki dominującej, a także innych spółek zależnych tej ostatniej mających siedzibę w Niemczech. Według sądu krajowego celem tego równoległego wyznaczenia FC jako IOD tych przedsiębiorstw było zapewnienie jednolitego poziomu ochrony danych w tych przedsiębiorstwach.

13      Na wniosek inspektora ochrony danych i wolności informacji w Turyngii (Niemcy) X‑FAB i przedsiębiorstwa wymienione w pkt 12 niniejszego wyroku w pismach z dnia 1 grudnia 2017 r. odwołały FC z funkcji IOD ze skutkiem natychmiastowym. Odrębnymi pismami z dnia 25 maja 2018 r. przedsiębiorstwa te zapobiegawczo powtórzyły ten krok na podstawie art. 38 ust. 3 zdanie drugie RODO, który tymczasem znalazł zastosowanie, powołując się na względy związane z grupą spółek, do której należy X‑FAB.

14      Powództwo wniesione przez FC do sądów niemieckich ma na celu stwierdzenie, że wciąż przysługuje mu status IOD w X‑FAB. Spółka ta podnosi ona, że istnieje ryzyko konfliktu interesów, w sytuacji gdy FC pełni jednocześnie funkcje IOD i przewodniczącego rady zakładowej, a to ze względu na to, że tych dwóch stanowisk nie da się ze sobą pogodzić. W konsekwencji istnieje ważna przyczyna uzasadniająca odwołanie FC z funkcji IOD.

15      Sąd pierwszej instancji i sąd apelacyjny uwzględniły powództwo wniesione przez FC. Skarga rewizyjna wniesiona przez X‑FAB do Bundesarbeitsgericht (federalnego sądu pracy, Niemcy), który jest sądem odsyłającym, zmierza do oddalenia tego powództwa.

16      Sąd odsyłający wskazuje, że rozstrzygnięcie tej skargi zależy od wykładni prawa Unii. W szczególności pojawia się tutaj pytanie, czy art. 38 ust. 3 zdanie drugie RODO sprzeciwia się temu, aby przepisy państwa członkowskiego uzależniały odwołanie IOD od spełnienia warunków surowszych niż przewidziane w prawie Unii, a jeśli tak, to czy przepis ten opiera się na wystarczającej podstawie prawnej. Gdyby Trybunał uznał, że warunki, od których BDSG uzależnia odwołanie, są zgodne z prawem Unii, należałoby ustalić, czy funkcje przewodniczącego rady zakładowej i IOD tego samego przedsiębiorstwa mogą być wykonywane przez jedną i tę samą osobę, czy też prowadzi to do konfliktu interesów w rozumieniu art. 38 ust. 6 zdanie drugie RODO.

17      W tych okolicznościach Bundesarbeitsgericht (federalny sąd pracy) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1.      Czy art. 38 ust. 3 zdanie drugie RODO należy interpretować w ten sposób, że sprzeciwia się on przepisowi prawa krajowego, takiemu jak w niniejszej sprawie § 38 ust. 1 i 2 w związku z § 6 ust. 4 zdanie pierwsze BDSG, który uzależnia możliwość odwołania [IOD] przez administratora danych, będącego jego pracodawcą, od spełnienia określonych w tym przepisie przesłanek, niezależnie od tego, czy odwołanie to następuje z powodu wypełniania przez [IOD] jego zadań?

W przypadku odpowiedzi twierdzącej na pytanie pierwsze:

2.      Czy art. 38 ust. 3 zdanie drugie RODO stoi na przeszkodzie przepisowi prawa krajowego również w wypadku, gdy wyznaczenie [IOD] nie jest obowiązkowe na podstawie art. 37 ust. 1 RODO, lecz jedynie na podstawie prawa państwa członkowskiego?

W przypadku odpowiedzi twierdzącej na pytanie pierwsze:

3.      Czy art. 38 ust. 3 zdanie drugie RODO jest oparty na wystarczającej podstawie prawnej, w szczególności w zakresie, w jakim obejmuje [IOD] pozostających w stosunku pracy z administratorem?

W przypadku odpowiedzi przeczącej na pytanie pierwsze:

4.      Czy istnieje konflikt interesów w rozumieniu art. 38 ust. 6 zdanie drugie RODO, jeśli [IOD] zajmuje również stanowisko przewodniczącego rady zakładowej utworzonej w przedsiębiorstwie administratora? Czy dla przyjęcia, że taki konflikt interesów istnieje, wymagany jest szczególny podział zadań w radzie zakładowej?”.

 W przedmiocie pytań prejudycjalnych

 W przedmiocie pytania pierwszego

18      Poprzez pytanie pierwsze sąd odsyłający zmierza zasadniczo do ustalenia, czy art. 38 ust. 3 zdanie drugie RODO należy interpretować w ten sposób, że sprzeciwia się on uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający mogą odwołać IOD, będącego członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli odwołanie nie jest związane z wypełnianiem przez tego inspektora jego zadań.

19      Jak wynika z utrwalonego orzecznictwa, przy dokonywaniu wykładni przepisu prawa Unii należy uwzględniać nie tylko jego brzmienie, zgodnie z jego zwykłym znaczeniem w języku potocznym, lecz także jego kontekst oraz cele uregulowania, którego część przepis ten stanowi (wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 18 i przytoczone tam orzecznictwo).

20      W pierwszej kolejności, co się tyczy brzmienia rozpatrywanego przepisu, należy zaznaczyć, że art. 38 ust. 3 RODO stanowi w zdaniu drugim, że „[IOD] [n]ie jest […] odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań”.

21      W tym względzie w wyroku z dnia 22 czerwca 2022 r., Leistritz (C‑534/20, EU:C:2022:495, pkt 20, 21) Trybunał, stwierdziwszy, że RODO nie definiuje terminów „odwoływany”, „karany” i „za wypełnianie swoich zadań”, zawartych w art. 38 ust. 3 zdanie drugie, podkreślił, po pierwsze, że zgodnie ze znaczeniem tych terminów w języku potocznym nałożony na administratora danych lub podmiot przetwarzający zakaz odwoływania IOD lub karania go oznacza, że IOD powinien być chroniony przed każdą decyzją skutkującą zakończeniem pełnienia przez niego funkcji lub stawiającą go w niekorzystnej sytuacji, lub taką, która stanowiłaby sankcję.

22      Taką decyzję mógłby jednak stanowić środek w postaci odwołania IOD, który zostałby podjęty przez jego pracodawcę i który skutkowałby odwołaniem IOD z wypełniania jego zadań u administratora lub jego podmiotu przetwarzającego.

23      Po drugie, jak również wskazał Trybunał, art. 38 ust. 3 zdanie drugie RODO ma zastosowanie bez rozróżnienia zarówno do IOD, który jest członkiem personelu administratora lub podmiotu przetwarzającego, jak i do IOD wykonującego swoje zadania na podstawie zawartej z nim umowy o świadczenie usług zgodnie z art. 37 ust. 6 RODO, w związku z czym art. 38 ust. 3 zdanie drugie ma zastosowanie do stosunków między IOD a administratorem danych lub podmiotem przetwarzającym niezależnie od charakteru stosunku pracy łączącego tego IOD z tymi ostatnimi (wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 23, 24).

24      Po trzecie, ten ostatni przepis ustanawia ograniczenie polegające na zakazie odwoływania IOD z przyczyn związanych z wypełnianiem przez niego jego zadań, które zgodnie z art. 39 ust. 1 lit. b) RODO obejmują w szczególności monitorowanie przestrzegania przepisów prawa Unii lub prawa państw członkowskich o ochronie danych oraz przepisów wewnętrznych administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych (zob. podobnie wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 25).

25      W drugiej kolejności, jeśli chodzi o cel realizowany przez art. 38 ust. 3 zdanie drugie RODO, to po pierwsze, w motywie 97 tego rozporządzenia jest mowa o tym, że IOD, bez względu na to, czy są pracownikami administratora, powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. W tym względzie taka niezależność musi im umożliwiać wypełnianie tych zadań zgodnie z celem RODO, które – jak wynika z jego motywu 10 – dąży do zapewnienia wysokiego poziomu ochrony osób fizycznych w Unii, czemu służy zapewnienie spójnego i jednolitego w całej Unii stosowania przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych (wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 26 i przytoczone tam orzecznictwo).

26      Po drugie, cel zmierzający do zagwarantowania niezależności funkcjonalnej IOD, który wynika z art. 38 ust. 3 zdanie drugie RODO, wynika również z art. 38 ust. 3 zdanie pierwsze i trzecie, który wymaga, aby IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań i aby bezpośrednio podlegał najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, a także z art. 38 ust. 5 RODO, który przewiduje, że IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań (wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 27).

27      Tym samym należy przyjąć, że art. 38 ust. 3 zdanie drugie RODO, poprzez zapewnienie ochrony IOD przed każdą decyzją, która kładłaby kres pełnieniu przez niego funkcji, stawiałaby go w niekorzystnej sytuacji lub stanowiłby sankcję, w sytuacji gdy taka decyzja pozostaje w związku z wypełnianiem jego zadań, zmierza zasadniczo do ochrony niezależności funkcjonalnej IOD, a wobec tego do zapewnienia skuteczności przepisów RODO (wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 28).

28      Jak orzekł również Trybunał, wykładnię tę potwierdza w trzeciej kolejności kontekst, w jaki wpisuje się ten przepis, a w szczególności podstawa prawna, w oparciu o którą prawodawca Unii przyjął RODO (wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 29).

29      Z preambuły RODO wynika bowiem, że rozporządzenie to zostało przyjęte na podstawie art. 16 TFUE, którego ust. 2 przewiduje w szczególności, że Parlament Europejski i Rada Unii Europejskiej, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają z jednej strony zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a z drugiej strony zasady dotyczące swobodnego przepływu takich danych (wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 30).

30      W tym względzie ustalenie zasad ochrony przed odwołaniem IOD zatrudnionego przez administratora lub podmiot przetwarzający należy do dziedziny ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wyłącznie w zakresie, w jakim zasady te mają na celu zachowanie niezależności funkcjonalnej IOD, zgodnie z art. 38 ust. 3 zdanie drugie RODO (zob. podobnie wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 31).

31      Wynika z tego, że każde państwo członkowskie może w ramach wykonywania powierzonych mu kompetencji ustanowić przepisy szczególne zapewniające większą ochronę w zakresie odwoływania IOD, o ile przepisy te są zgodne z prawem Unii, a konkretnie z przepisami RODO, między innymi z jego art. 38 ust. 3 zdanie drugie (zob. podobnie wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 34).

32      W szczególności taka wzmożona ochrona nie może zagrozić realizacji celów RODO. Tymczasem byłoby tak w przypadku, gdyby uniemożliwiała ona jakiekolwiek odwołanie przez administratora lub podmiot przetwarzający IOD, który nie posiadałby już kwalifikacji zawodowych wymaganych do wykonywania swoich zadań zgodnie z art. 37 ust. 5 RODO lub który nie wywiązywałby się z nich zgodnie z przepisami tego rozporządzenia (zob. podobnie wyrok z dnia 22 czerwca 2022 r., Leistritz, C‑534/20, EU:C:2022:495, pkt 35).

33      W tym względzie należy przypomnieć, jak wskazano w pkt 25 niniejszego wyroku, że RODO ma na celu zapewnienie wysokiego poziomu ochrony osób fizycznych w Unii w związku z przetwarzaniem ich danych osobowych oraz że dla realizacji tego celu IOD powinien być w stanie wykonywać swoje funkcje i zadania w sposób całkowicie niezależny.

34      Wzmocniona ochrona IOD, która całkowicie uniemożliwiałaby jego odwołanie, w przypadku gdyby nie był on lub przestał być w stanie wykonywać swoich zadań w sposób całkowicie niezależny z powodu konfliktu interesów, zagrażałaby realizacji tego celu.

35      Do sądu krajowego należy upewnienie się, że przepisy szczególne, takie jak wskazane w pkt 31 niniejszego wyroku, są zgodne z prawem Unii, a w szczególności z przepisami RODO.

36      W świetle powyższego na pytanie pierwsze należy odpowiedzieć, że art. 38 ust. 3 zdanie drugie RODO należy interpretować w ten sposób, iż nie sprzeciwia się on uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający mogą odwołać IOD będącego członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli odwołanie nie jest związane z wypełnianiem przez niego jego zadań, o ile takie uregulowanie nie zagraża realizacji celów RODO.

 W przedmiocie pytań drugiego i trzeciego

37      Z uwagi na odpowiedź udzieloną na pytanie pierwsze nie ma konieczności udzielania odpowiedzi na pytania drugie i trzecie.

 W przedmiocie pytania czwartego

38      Poprzez pytanie czwarte sąd odsyłający dąży zasadniczo do ustalenia, w jakich okolicznościach można stwierdzić istnienie „konfliktu interesów” w rozumieniu art. 38 ust. 6 RODO.

39      Co się tyczy w pierwszej kolejności brzmienia rozpatrywanego przepisu, należy zauważyć, że zgodnie z art. 38 ust. 6 zdanie drugie RODO „[IOD] może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.

40      Z brzmienia tego przepisu wynika zatem, po pierwsze, że RODO nie ustanawia zasadniczej niezgodności między sprawowaniem funkcji IOD a sprawowaniem innych funkcji u administratora danych lub jego podmiotu przetwarzającego. Artykuł 38 ust. 6 tego rozporządzenia przewiduje bowiem wyraźnie, że IOD można powierzyć wykonywanie zadań i obowiązków innych niż te, które ciążą na nim na mocy art. 39 RODO.

41      Niemniej jednak, po drugie, administrator lub jego podmiot przetwarzający powinien zapewnić, aby te inne zadania i obowiązki nie powodowały „konfliktu interesów”. W świetle znaczenia tego wyrażenia w języku potocznym należy uznać, że zgodnie z celem realizowanym przez art. 38 ust. 6 RODO nie można powierzyć osobie będącej IOD wykonywania zadań lub obowiązków, które mogłyby zaszkodzić pełnieniu funkcji, które wykonuje jako IOD.

42      Co się tyczy tego celu, należy w drugiej kolejności zauważyć, że przepis ten zmierza zasadniczo, podobnie jak inne przepisy, o których mowa w pkt 25 niniejszego wyroku, do zachowania niezależności funkcjonalnej IOD, a tym samym do zapewnienia skuteczności przepisów RODO.

43      W trzeciej kolejności, co się tyczy kontekstu, w jaki wpisuje się art. 38 ust. 6 RODO, należy zauważyć, że zgodnie z art. 39 ust. 1 lit. b) RODO zadaniem IOD jest w szczególności monitorowanie przestrzegania RODO, innych przepisów prawa Unii lub prawa państw członkowskich o ochronie danych i przepisów wewnętrznych administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podziału obowiązków, działań zwiększających świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązanych z tym audytów.

44      Wynika z tego w szczególności, że nie można powierzyć IOD zadań lub obowiązków, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego. Zgodnie bowiem z prawem Unii lub prawem państw członkowskich w dziedzinie ochrony danych monitorowanie tych celów i sposobów powinno być prowadzone w sposób niezależny przez IOD.

45      Ustalenia istnienia konfliktu interesów w rozumieniu art. 38 ust. 6 RODO należy dokonywać odrębnie dla każdego przypadku na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej administratora lub jego podmiotu przetwarzającego, oraz w świetle całości obowiązujących przepisów, w tym ewentualnych przepisów wewnętrznych tego administratora.

46      Mając na względzie całość powyższych rozważań, na pytanie czwarte należy odpowiedzieć, że art. 38 ust. 6 RODO należy interpretować w ten sposób, że „konflikt interesów” w rozumieniu tego przepisu może istnieć w sytuacji, gdy osoba będąca IOD otrzymuje inne zadania lub obowiązki, które prowadziłyby do określania przez nią celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego, co powinien ustalić sąd krajowy odrębnie dla każdego przypadku na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej administratora lub jego podmiotu przetwarzającego, oraz w świetle całości obowiązujących przepisów, w tym ewentualnych przepisów wewnętrznych administratora lub podmiotu przetwarzającego.

 W przedmiocie kosztów

47      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (szósta izba) orzeka, co następuje:

1)      Artykuł 38 ust. 3 zdanie drugie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) należy interpretować w ten sposób, że nie sprzeciwia się on uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający mogą odwołać inspektora ochrony danych, będącego członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli odwołanie nie jest związane z wypełnianiem przez niego jego zadań, o ile takie uregulowanie nie zagraża realizacji celów tego rozporządzenia.

2)      Artykuł 38 ust. 6 rozporządzenia 2016/679 należy interpretować w ten sposób, że „konflikt interesów” w rozumieniu tego przepisu może istnieć w sytuacji, gdy inspektor ochrony danych otrzymuje inne zadania lub obowiązki, które prowadziłyby do określania przez niego celów i sposobów przetwarzania danych osobowych u administratora lub jego podmiotu przetwarzającego, co powinien ustalić sąd krajowy odrębnie dla każdego przypadku na podstawie oceny wszystkich istotnych okoliczności, w szczególności struktury organizacyjnej administratora lub jego podmiotu przetwarzającego, oraz w świetle całości obowiązujących przepisów, w tym ewentualnych przepisów wewnętrznych administratora lub podmiotu przetwarzającego.