Nieodwołalność i niekaralność inspektora ochrony danych przez administratora oraz podmiot przetwarzający (art. 38 ust. 3 RODO)

Art. 38 ust. 3 zdanie drugie RODO należy interpretować w ten sposób, iż nie sprzeciwia się on uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający mogą odwołać IOD będącego członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli odwołanie nie jest związane z wypełnianiem przez niego jego zadań, o ile takie uregulowanie nie zagraża realizacji celów RODO.

Każde państwo członkowskie może w ramach wykonywania powierzonych mu kompetencji ustanowić przepisy szczególne zapewniające większą ochronę w zakresie odwoływania IOD, o ile przepisy te są zgodne z prawem Unii, a konkretnie z przepisami RODO, między innymi z jego art. 38 ust. 3 zdanie drugie (zob. podobnie wyrok z dnia 22 czerwca 2022 r., Leistritz, C-534/20).

Wzmożona ochrona nie może zagrozić realizacji celów RODO. Tymczasem byłoby tak w przypadku, gdyby uniemożliwiała ona jakiekolwiek odwołanie przez administratora lub podmiot przetwarzający IOD, który nie posiadałby już kwalifikacji zawodowych wymaganych do wykonywania swoich zadań zgodnie z art. 37 ust. 5 RODO lub który nie wywiązywałby się z nich zgodnie z przepisami tego rozporządzenia (zob. podobnie wyrok z dnia 22 czerwca 2022 r., Leistritz, C-534/20). RODO ma na celu zapewnienie wysokiego poziomu ochrony osób fizycznych w Unii w związku z przetwarzaniem ich danych osobowych oraz że dla realizacji tego celu IOD powinien być w stanie wykonywać swoje funkcje i zadania w sposób całkowicie niezależny.

Wyrok TSUE z dnia 9 lutego 2023 r., C-453/21

Standard: 84069 (pełna treść orzeczenia)

Art. 38 ust. 3 zdanie drugie RODO należy dokonywać w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu, które przewiduje, że administrator lub podmiot przetwarzający może rozwiązać stosunek pracy z inspektorem ochrony danych, będącym członkiem jego personelu, jedynie z ważnej przyczyny, nawet jeśli rozwiązanie stosunku pracy nie jest związane z wypełnianiem przez tego inspektora jego zadań, o ile takie uregulowanie nie zagraża realizacji celów RODO.

RODO nie definiuje terminów „odwoływany”, „karany” i „za wypełnianie swoich zadań”, zawartych w art. 38 ust. 3 zdanie drugie. Niemniej, zgodnie ze znaczeniem tych terminów w języku potocznym nałożony na administratora danych lub podmiot przetwarzający zakaz odwoływania inspektora ochrony danych z jego funkcji lub karania go oznacza, że ten inspektor powinien być chroniony przed wszelkimi decyzjami skutkującymi zakończeniem pełnienia przez niego funkcji lub stawiającymi go w niekorzystnej sytuacji, lub takimi, które stanowiłyby sankcję. W tym względzie decyzję taką może stanowić środek w postaci rozwiązania stosunku pracy z inspektorem ochrony danych, jaki zostałby podjęty przez jego pracodawcę i jaki zakończyłby stosunek pracy istniejący między tym inspektorem a tym pracodawcą, a także w konsekwencji również pełnienie funkcji inspektora ochrony danych w danym przedsiębiorstwie.

Art. 38 ust. 3 zdanie drugie RODO ma zastosowanie bez rozróżnienia zarówno do inspektora ochrony danych będącego członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i do osoby wykonującej swoje zadania na podstawie zawartej z nimi umowy o świadczenie usług, zgodnie z art. 37 ust. 6 RODO. Wynika z tego, że art. 38 ust. 3 zdanie drugie RODO ma zastosowanie do stosunków między inspektorem ochrony danych a administratorem danych lub podmiotem przetwarzającym niezależnie od charakteru stosunku pracy łączącego tego inspektora z administratorem lub podmiotem przetwarzającym.

Art. 38 ust. 3 RODO ustanawia ograniczenie, które polega na zakazie rozwiązania stosunku pracy z inspektorem ochrony danych z przyczyn związanych z wypełnianiem przez niego jego zadań, które obejmują w szczególności, zgodnie z art. 39 ust. 1 lit. b) RODO, monitorowanie przestrzegania przepisów prawa Unii lub prawa państw członkowskich o ochronie danych oraz polityk [przepisów wewnętrznych] administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych.

Co się tyczy celu realizowanego przez art. 38 ust. 3 zdanie drugie RODO, należy podkreślić, po pierwsze, że motyw 97 tego rozporządzenia stanowi, iż inspektorzy ochrony danych, bez względu na to, czy są pracownikami administratora, powinni być w stanie wypełniać swoje obowiązki i zadania w sposób niezależny. W tym względzie taka niezależność musi im umożliwiać wypełnianie tych zadań zgodnie z celem RODO, który jak wynika z jego motywu 10, służy zapewnieniu wysokiego poziomu ochrony osób fizycznych w Unii i w tym celu zapewnieniu spójnego i jednolitego stosowania zasad ochrony podstawowych praw i wolności tych osób w odniesieniu do przetwarzania danych osobowych w całej Unii (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C-511/18, C-512/18 i C-520/18).

Cel zmierzający do zagwarantowania niezależności funkcjonalnej inspektora ochrony danych, który wynika z art. 38 ust. 3 zdanie drugie RODO, wynika również z art. 38 ust. 3 zdanie pierwsze i trzecie, który wymaga, aby inspektor ten nie otrzymywał żadnych instrukcji dotyczących wypełniania swoich zadań i bezpośrednio podlegał najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, a także z art. 38 ust. 5, który przewiduje, że omawiany inspektor jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

Art. 38 ust. 3 zdanie drugie RODO, poprzez zapewnienie ochrony inspektorowi ochrony danych przed każdą decyzją, która kładłaby kres pełnieniu przez niego funkcji, która stawiałaby go w niekorzystnej sytuacji lub która stanowiłby sankcję, w sytuacji gdy taka decyzja pozostaje w związku z wypełnianiem przez niego zadań, zmierza zasadniczo do ochrony niezależności funkcjonalnej inspektora ochrony danych, a wobec tego do zapewnienia skuteczności przepisów RODO. Przepis ten nie ma natomiast na celu globalnego uregulowania stosunków pracy między administratorem danych lub podmiotem przetwarzającym a członkami jego personelu, na które może oddziaływać jedynie ubocznie, w zakresie ściśle niezbędnym do osiągnięcia tych celów.

Poza szczególną ochroną inspektora ochrony danych przewidzianą w art. 38 ust. 3 zdanie drugie RODO ustalenie zasad ochrony przed rozwiązaniem umowy o pracę z inspektorem ochrony danych zatrudnionym przez administratora danych lub podmiot przetwarzający nie wchodzi w zakres ani ochrony osób fizycznych w zakresie przetwarzania danych osobowych, ani swobodnego przepływu tych danych, lecz w zakres polityki społecznej.

Wyrok TSUE z dnia 22 czerwca 2022 r., C-534/20

Standard: 84072 (pełna treść orzeczenia)