Ny EU-dom fastslår, hvornår en databeskyttelsesrådgiver kan afskediges

Domstolen nåede frem til, at en skærpet regel, der har til hensigt at beskytte databeskyttelsesrådgivere, skal være forenelige med GDPR’s formål, og at databeskyttelsesrådgivere i vid udstrækning kan udføre andre opgaver og pligter for virksomheden.

Sagen kort

En medarbejder blev den 1. november 1993 ansat som formand for samarbejdsudvalget i en tysk virksomhed, og som næstformand for det centrale samarbejdsudvalg, der var blevet oprettet for tre virksomheder i den koncern, som virksomheden var en del af. Medarbejderen blev efterfølgende udpeget som databeskyttelsesrådgiver i hver af koncernens virksomheder med henblik på at sikre et ensartet databeskyttelsesniveau.

Senere blev medarbejderen afskediget, da virksomhedens opfattelse var, at der forelå en interessekonflikt, når medarbejderen på den ene side var databeskyttelsesrådgiver og på den anden side var formand og næstformand i samarbejdsudvalgene, fordi stillingerne var uforenelige. Medarbejderen indbragte afskedigelsen for de tyske domstole, da en databeskyttelsesrådgiver ifølge GDPR ikke må afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver.

Den tyske forbundsdomstol i arbejdsretlige sager (Bundesarbeitsgericht) forelagde sagen for EU-Domstolen, da det var uklart, om tysk ret kan stille strengere krav til afskedigelse af en databeskyttelsesrådgiver, da der kræves en ”vægtig grund”, end GDPR’s bestemmelser. Det var desuden uklart, om medarbejderens forskellige stillinger hos virksomheden og de øvrige koncernselskaber medførte en interessekonflikt.

Retsgrundlaget

De centrale bestemmelser i sagen var artikel 38, stk. 3, og 38, stk. 6, i GDPR.

GDPR artikel 38, stk. 3, fastslår, at en databeskyttelsesrådgiver hverken må afskediges eller straffes af den dataansvarlige eller databehandleren for at udføre sine opgaver.

I den forbindelse har EU-Domstolen i sin dom af 22. juni 2022, Leistritz (C-534/20, EU:C:2022:495, præmis 20 og 21), efter at have konstateret, at GDPR ikke definerer udtrykkene »afskediges«, »straffes« og »for at udføre sine opgaver«, som er indeholdt i artikel 38, stk. 3, andet punktum, fremhævet, at forbuddet mod, at den dataansvarlige eller databehandleren afskediger eller straffer en databeskyttelsesrådgiver, betyder, at denne skal være beskyttet mod enhver afgørelse, hvorved den pågældendes hverv bringes til ophør, den pågældende stilles ringere, eller som udgør en sanktion.

GDPR artikel 38, stk. 6, tillader, at databeskyttelsesrådgiveren kan udføre andre opgaver og have andre pligter for den dataansvarlige eller databehandleren, forudsat at disse opgaver og pligter ikke medfører en interessekonflikt.

EU-Domstolens dom

EU-Domstolen slog indledningsvist fast, at GDPR’s forbud mod at afskedige en intern eller ekstern databeskyttelsesrådgiver har til formål at værne om dennes funktionelle uafhængighed for derved at sikre effektiviteten af GDPR’s bestemmelser.

GDPR’s forbud mod afskedigelse fastsætter dermed en grænse, der består i at forbyde afskedigelse af en databeskyttelsesrådgiver, når der udføres de opgaver, der som minimum påhviler denne i medfør af GDPR artikel 39. Afskedigelsesforbuddet indebærer derfor, at databeskyttelsesrådgiveren beskyttes mod enhver afgørelse, der bringer ansættelsen til ophør, stiller databeskyttelsesrådgiveren ringere eller som udgør en sanktion.

Virksomhedens opsigelse af medarbejderen udgjorde en sådan afgørelse, da den fjernede medarbejderen fra stillingen.

Samtidig slog EU-Domstolen fast, at hver medlemsstat frit kan vedtage nationale regler, som i videre omfang beskytter databeskyttelsesrådgivere mod afskedigelse, og som er strengere end bestemmelserne i GDPR, forudsat at reglerne er forenelige med formålet bag GDPR’s krav til databeskyttelsesrådgiveren, hvilket påhviler de nationale domstole at sikre sig.

Ifølge Domstolen er en national regel uforenelig med GDPR, når den forhindrer opsigelse af en databeskyttelsesrådgiver, som ikke længere besidder de faglige kvalifikationer, der er nødvendige for udførelsen af dennes opgaver, eller når databeskyttelsesrådgiveren ikke er i stand til at udføre sine opgaver i fuld uafhængighed på grund af en interessekonflikt.

Samtidig fastslog EU-domstolen også, at:

”I denne henseende bemærkes, således som det er blevet anført i nærværende doms præmis 25, at databeskyttelsesforordningen tilsigter at sikre et højt beskyttelsesniveau for fysiske personer i Unionen for så vidt angår behandlingen af deres personoplysninger, og at en databeskyttelsesrådgiver for at opfylde dette formål skal være i stand til at udøve sine opgaver og funktioner i fuld uafhængighed.

En udvidet beskyttelse af databeskyttelsesrådgiveren, som forhindrer enhver fjernelse af denne i det tilfælde, hvor den pågældende ikke eller ikke længere er i stand til at udføre sine opgaver i fuld uafhængighed på grund af en interessekonflikt, ville således bringe virkeliggørelsen af dette formål i fare.”

Derudover bekræftede Domstolen, at en databeskyttelsesrådgiver kan udføre andre opgaver og pligter for den virksomhed, vedkommende er ansat i, så længe opgavevaretagelsen ikke medfører en interessekonflikt. Det indebærer, at en databeskyttelsesrådgiver ikke kan overdrages opgaver eller pligter, der medfører, at vedkommende fastlægger formålene med og hjælpemidlerne til behandlingen af personoplysninger hos virksomheden.

Bech-Bruuns bemærkninger

Forbuddet i GDPR mod at afskedige databeskyttelsesrådgivere kan således skærpes i national ret, men kun til en vis grænse, da beskyttelsesinteressen ikke vejer tungere end de bestemmelser i GDPR, der er strengt nødvendige for at sikre databeskyttelsesrådgiverens funktionelle uafhængighed og de opgaver, der påhviler denne.

Desuden viser dommen, at databeskyttelsesrådgivere i vid udstrækning kan udføre andre opgaver og pligter for virksomheden, fordi databeskyttelsesrådgivere kun afskæres fra at påtage sig andre opgaver og pligter, der indebærer, at databeskyttelsesrådgiveren direkte eller indirekte udøver indflydelse på en sådan måde, at denne påtager sig et dataansvar for virksomhedens behandling af personoplysninger. Dette vil i sidste ende skulle afgøres i den enkelte sag på baggrund af sagens omstændigheder.

Således slår EU-domstolen fast, at der er forenelighed mellem på den ene side udøvelsen af databeskyttelsesrådgiverens opgaver og på den anden side udøvelsen af andre opgaver hos virksomheden, fordi databeskyttelsesrådgiveren tillades at udføre andre opgaver end dem, der påhviler denne i medfør af GDPR artikel 39.