EU-domstolen avsa 9. februar 2023 prejudisiell avgjørelse i sak C-453/21. Saken gjelder tolkningen av forordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR].
Sakens bakgrunn
FC har vært ansatt i det tyske selskapet X-FAB siden 1993, hvor han både er formann i samarbeidsutvalget og nestformann i det sentrale samarbeidsutvalget for alle selskapene i konsernet til X-FAB. I 2015 ble FC personvernombud i både X-FAB, morselskapet og dets andre datterselskaper.
På anmodning fra datatilsynet i Thüringen i 2017, fratok selskapene FC vervet som personvernombud med øyeblikkelig virkning. FC anla søksmål for å få fastslått at han fortsatt er personvernombud for X-FAB. X-FAB anfører at det foreligger risiko for interessekonflikt hvis FC fyller rollene som personvernombud og formann for samarbeidsutvalget samtidig. Saken står nå for Bundesarbeidsgericht (forbundsdomstol for arbeidsrettslige saker i Tyskland) som er foreleggende domstol.
EU-domstolens vurdering
Første spørsmål
Det første spørsmålet er om nasjonal lovgivning som fastsetter at behandlingsansvarlig eller databehandler bare kan frata en ansatt vervet som personvernombud dersom det foreligger en vesentlig grunn, er i strid med artikkel 38 (3) (2), selv om oppsigelsen ikke skyldes personvernombudets utførelse av sine oppgaver.
Artikkel 38 (3) (2) fastslår at personvernombudet ikke skal «avsettes eller straffes» for å utføre sine oppgaver. Bestemmelsen gjelder alle personvernombud, uavhengig av deres ansettelsesforhold hos den behandlingsansvarlige eller databehandleren. EU-domstolens tolkning i C-534/20 tilsier at personvernombudet skal være beskyttet mot enhver avgjørelse som enten bringer vervet til opphør, at vedkommende stilles dårligere, eller som utgjør en sanksjon.
Bestemmelsen er ment å verne personvernombudets funksjonelle uavhengighet. Dette følger for det første av forordningens formål om et høyt beskyttelsesnivå for vern av fysiske personer i Unionen. Det følger også av sammenhengen i artikkel 38, som blant annet bestemmer at personvernombudet ikke skal motta instrukser om utførelsen av sine oppgaver, at vedkommende skal rapportere direkte til det høyeste ledelsesnivået hos den behandlingsansvarlige eller databehandleren, og at personvernombudet er underlagt taushetsplikt.
Medlemslandene står fritt til å fastsette et sterkere vern av personvernombudet innenfor rammene av forordningen og EU-retten. Men et vern av personvernombudets verv som går så langt at det forhindrer ethvert opphør, også når vedkommende ikke kan utføre oppgavene i full uavhengighet på grunn av en interessekonflikt, vil gjøre det vanskelig å realisere formålet med forordningen. Det er opp til den foreleggende domstol å vurdere om de tyske reglene om avskjedigelse av personvernombud er forenlig med EU-retten.
Annet spørsmål
EU-domstolen vurderer deretter hva som utgjør en «interessekonflikt» etter artikkel 38 (6).
Artikkel 38 (6) fastslår at personvernombudet kan utføre andre oppgaver og ha andre plikter, men at den behandlingsansvarlige eller databehandleren skal sikre at det ikke fører til en «interessekonflikt».
Også denne bestemmelsens formål er å verne personvernombudets funksjonelle uavhengighet. Personvernombudets oppgave er å kontrollere at bedriften overholder forordningen, andre personvernregler og bedriftens egne personvernretningslinjer. Personvernombudet kan derfor ikke få oppgaver eller plikter som setter vedkommende i posisjon til å fastlegge formål med og midler til behandlingen av personopplysninger i bedriften.
Vurderingen av om det foreligger en «interessekonflikt» skal gjøres konkret på grunnlag av alle relevante omstendigheter etter gjeldende regler.
EU-domstolens konklusjon
Artikkel 38 (3) (2) er ikke til hinder for at nasjonal lovgivning fastsetter at en behandlingsansvarlig eller databehandler kun kan bringe et personvernombuds verv til opphør der det foreligger vesentlig grunner, selv om opphøret ikke er relatert til personvernombudets utføring av sine oppgaver, så lenge lovgivningen ikke gjør det vanskelig å gjennomføre forordningen.
Det kan foreligge en «interessekonflikt» etter artikkel 38 (6) når personvernombudet får andre oppgaver eller plikter som medfører at vedkommende kan fastlegge formål og midler til behandlingen av personopplysninger.
Forordning (EU) 2016/679 er innlemmet i EØS-avtalens vedlegg XI og gjelder som norsk lov med EØS-tilpasningene, jf. lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) § 1.
(C-453/21)
ÅE