Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny EU-dom fastslår, hvornår en databeskyttelsesrådgiver kan afskediges

Ny EU-dom fastslår, hvornår en databeskyttelsesrådgiver kan afskediges
Bech-Bruun logo
EU-Domstolen har netop afsagt dom i en sag om, hvorvidt en national regel kan stille strengere krav til en virksomheds afskedigelse af en databeskyttelsesrådgiver end GDPR, og i hvilket omfang en databeskyttelsesrådgiver kan udføre andre opgaver og pligter for virksomheden.

Domstolen nåede frem til, at en skærpet regel, der har til hensigt at beskytte databeskyttelsesrådgivere, skal være forenelige med GDPR’s formål, og at databeskyttelsesrådgivere i vid udstrækning kan udføre andre opgaver og pligter for virksomheden.


Sagen kort

En medarbejder blev den 1. november 1993 ansat som formand for samarbejdsudvalget i en tysk virksomhed, og som næstformand for det centrale samarbejdsudvalg, der var blevet oprettet for tre virksomheder i den koncern, som virksomheden var en del af. Medarbejderen blev efterfølgende udpeget som databeskyttelsesrådgiver i hver af koncernens virksomheder med henblik på at sikre et ensartet databeskyttelsesniveau.


Senere blev medarbejderen afskediget, da virksomhedens opfattelse var, at der forelå en interessekonflikt, når medarbejderen på den ene side var databeskyttelsesrådgiver og på den anden side var formand og næstformand i samarbejdsudvalgene, fordi stillingerne var uforenelige. Medarbejderen indbragte afskedigelsen for de tyske domstole, da en databeskyttelsesrådgiver ifølge GDPR ikke må afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver.


Den tyske forbundsdomstol i arbejdsretlige sager (Bundesarbeitsgericht) forelagde sagen for EU-Domstolen, da det var uklart, om tysk ret kan stille strengere krav til afskedigelse af en databeskyttelsesrådgiver, da der kræves en ”vægtig grund”, end GDPR’s bestemmelser. Det var desuden uklart, om medarbejderens forskellige stillinger hos virksomheden og de øvrige koncernselskaber medførte en interessekonflikt.


Retsgrundlaget

De centrale bestemmelser i sagen var artikel 38, stk. 3, og 38, stk. 6, i GDPR.


GDPR artikel 38, stk. 3, fastslår, at en databeskyttelsesrådgiver hverken må afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver.


I den forbindelse har EU-Domstolen i sin dom af 22. juni 2022, Leistritz (C-534/20, EU:C:2022:495, præmis 20 og 21), efter at have konstateret, at GDPR ikke definerer udtrykkene »afskediges«, »straffes« og »for at udføre sine opgaver«, som er indeholdt i artikel 38, stk. 3, andet punktum, fremhævet, at forbuddet mod, at den dataansvarlige eller databehandleren afskediger eller straffer en databeskyttelsesrådgiver, betyder, at denne skal være beskyttet mod enhver afgørelse, hvorved den pågældendes hverv bringes til ophør, den pågældende stilles ringere, eller som udgør en sanktion.


GDPR artikel 38, stk. 6, tillader, at databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter for den dataansvarlige eller databehandleren, forudsat at disse opgaver og pligter ikke medfører en interessekonflikt.


EU-Domstolens dom

EU-Domstolen slog indledningsvist fast, at GDPR’s forbud mod at afskedige en intern eller ekstern databeskyttelsesrådgiver har til formål at værne om dennes funktionelle uafhængighed for derved at sikre effektiviteten af GDPR’s bestemmelser.


GDPR’s forbud mod afskedigelse fastsætter dermed en grænse, der består i at forbyde afskedigelse af en databeskyttelsesrådgiver, når der udføres de opgaver, der som minimum påhviler denne i medfør af GDPR artikel 39. Afskedigelsesforbuddet indebærer derfor, at databeskyttelsesrådgiveren beskyttes mod enhver afgørelse, der bringer ansættelsen til ophør, stiller databeskyttelsesrådgiveren ringere eller som udgør en sanktion.


Virksomhedens opsigelse af medarbejderen udgjorde en sådan afgørelse, da den fjernede medarbejderen fra stillingen.


Samtidig slog EU-Domstolen fast, at hver medlemsstat frit kan vedtage nationale regler, som i videre omfang beskytter databeskyttelsesrådgivere mod afskedigelse, og som er strengere end bestemmelserne i GDPR, forudsat at reglerne er forenelige med formålet bag GDPR’s krav til databeskyttelsesrådgiveren, hvilket påhviler de nationale domstole at sikre sig.


Ifølge Domstolen er en national regel uforenelig med GDPR, når den forhindrer opsigelse af en databeskyttelsesrådgiver, som ikke længere besidder de faglige kvalifikationer, der er nødvendige for udførelsen af dennes opgaver, eller når databeskyttelsesrådgiveren ikke er i stand til at udføre sine opgaver i fuld uafhængighed på grund af en interessekonflikt.


Samtidig fastslog EU-domstolen også, at:


”I denne henseende bemærkes, således som det er blevet anført i nærværende doms præmis 25, at databeskyttelsesforordningen tilsigter at sikre et højt beskyttelsesniveau for fysiske personer i Unionen for så vidt angår behandlingen af deres personoplysninger, og at en databeskyttelsesrådgiver for at opfylde dette formål skal være i stand til at udøve sine opgaver og funktioner i fuld uafhængighed.


En udvidet beskyttelse af databeskyttelsesrådgiveren, som forhindrer enhver fjernelse af denne i det tilfælde, hvor den pågældende ikke eller ikke længere er i stand til at udføre sine opgaver i fuld uafhængighed på grund af en interessekonflikt, ville således bringe virkeliggørelsen af dette formål i fare.”


Derudover bekræftede Domstolen, at en databeskyttelsesrådgiver kan udføre andre opgaver og pligter for den virksomhed, vedkommende er ansat i, så længe opgavevaretagelsen ikke medfører en interessekonflikt. Det indebærer, at en databeskyttelsesrådgiver ikke kan overdrages opgaver eller pligter, der medfører, at vedkommende fastlægger formålene med og hjælpemidlerne til behandlingen af personoplysninger hos virksomheden.


Bech-Bruuns bemærkninger

Forbuddet i GDPR mod at afskedige databeskyttelsesrådgivere kan således skærpes i national ret, men kun til en vis grænse, da beskyttelsesinteressen ikke vejer tungere end de bestemmelser i GDPR, der er strengt nødvendige for at sikre databeskyttelsesrådgiverens funktionelle uafhængighed og de opgaver, der påhviler denne.


Desuden viser dommen, at databeskyttelsesrådgivere i vid udstrækning kan udføre andre opgaver og pligter for virksomheden, fordi databeskyttelsesrådgivere kun afskæres fra at påtage sig andre opgaver og pligter, der indebærer, at databeskyttelsesrådgiveren direkte eller indirekte udøver indflydelse på en sådan måde, at denne påtager sig et dataansvar for virksomhedens behandling af personoplysninger. Dette vil i sidste ende skulle afgøres i den enkelte sag på baggrund af sagens omstændigheder.


Således slår EU-domstolen fast, at der er forenelighed mellem på den ene side udøvelsen af databeskyttelsesrådgiverens opgaver og på den anden side udøvelsen af andre opgaver hos virksomheden, fordi databeskyttelsesrådgiveren tillades at udføre andre opgaver end dem, der påhviler denne i medfør af GDPR artikel 39.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Bech-Bruun logo
København
Gdanskgade 18
2150 Nordhavn
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Jurainfo Exclusive logo
PODCAST
Har du pligt til at oprette en whistleblowerordning inden den 17. december 2023?
Bliv klogere på whistleblowerloven, herunder hvilke virksomheder, der har pligt til at etablere en whistleblowerordning.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Lovforslag om kønsfordeling i visse børsnoterede selskaber er nu 1. behandlet
Lovforslag om kønsfordeling i visse børsnoterede selskaber er nu 1. behandlet
27/11/2024
Ansættelses- og arbejdsret
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Skærpet regulering af miljømarkedsføring: Nye regler og anbefalinger
Skærpet regulering af miljømarkedsføring: Nye regler og anbefalinger
05/12/2024
E-handel og markedsføring, EU-ret, Øvrige
Tilbudsgivere fra tredjelande kørt ud på et sidespor
Tilbudsgivere fra tredjelande kørt ud på et sidespor
05/12/2024
Udbud, EU-ret
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted