Το Ομοσπονδιακό Δικαστήριο Εργατικών Διαφορών της Γερμανίας ζητά την ερμηνευτική συνδρομή του ΔΕΕ ως προς το κατά πόσον ο εθνικός νομοθέτης μπορεί να θεσπίζει αυστηρότερες προϋποθέσεις για την παύση του DPO, αλλά και εάν η παράλληλη ιδιότητα του Προέδρου του Συμβουλίου Εργαζομένων συνεπάγεται ασυμβίβαστο (C-453/21)
Επιμέλεια: Δημήτρης Βέρρας
Δημοσιεύθηκε στον ιστότοπο του Δικαστηρίου της Ευρωπαϊκής Ένωσης, η υπ’ αριθμ. C-453/21 αίτηση προδικαστικής απόφασης για την ερμηνεία διατάξεων του Γενικού Κανονισμού Προστασίας Δεδομένων.
Η αίτηση υποβάλλεται από το Bundesarbeitsgericht (ομοσπονδιακό δικαστήριο εργατικών διαφορών της Γερμανίας) στο πλαίσιο της εξέτασης αίτησης αναίρεσης της εταιρείας X-FAB Dresden GmbH & Co. KG κατά απόφασης, η οποία δικαίωνε τον, απαλλαγέντα από τα καθήκοντά του, Υπεύθυνο Προστασίας Δεδομένων του ομίλου.
Το ιστορικό
Την 1η Ιουνίου 2015, η εναγομένη, η μητρική της, καθώς και οι λοιπές θυγατρικές εταιρίες που είναι εγκατεστημένες στη Γερμανία, όρισαν τον ενάγοντα, ο οποίος είχε ήδη την ιδιότητα του Προέδρου του Συμβουλίου Εργαζομένων, ως Υπεύθυνο Προστασίας Δεδομένων (DPO). Η ανάθεση των καθηκόντων του DPO στον ενάγοντα για το σύνολο των εγκατεστημένων στη Γερμανία επιχειρήσεων του ομίλου είχε ως σκοπό την επίτευξη ενιαίου επιπέδου προστασίας δεδομένων εντός του ομίλου.
Τον Δεκέμβριο του 2017 και μετά από υπόδειξη της αρμόδιας εποπτικής αρχής, οι εταιρείες ανακάλεσαν τον διορισμό του ενάγοντος ως DPO, με χωριστά έγγραφα και άμεση ισχύ.
Μετά την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία Δεδομένων, οι εταιρείες προέβησαν, προληπτικώς, σε νέα παύση του ενάγοντος από τη θέση του DPO, «με βάση το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, επικαλούμενες επιχειρησιακούς λόγους».
Ο λόγος της δεύτερης αυτής παύσης ήταν διότι οι προϋποθέσεις απόλυσης DPO, που θεσπίστηκαν από τη διάταξη αυτή του Γενικού Κανονισμού, ήταν λιγότερο αυστηρές από εκείνες του εθνικού δικαίου, στην οποία είχε θεμελιωθεί η αρχική παύση. Παράλληλα, και σε κάθε περίπτωση, η αναφορά του άρθρου 38 παρ.6 ΓΚΠΔ σε σύγκρουση συμφερόντων θα μπορούσε ενδεχομένως να αποτελέσει τον σοβαρό λόγο, που απαιτεί το εθνικό δίκαιο.
Ο ενάγων προσέβαλε δικαστικώς την παύση του αυτή, προβάλλοντας τον ισχυρισμό πως η νομική του κατάσταση ως υπευθύνου προστασίας δεδομένων παρέμεινε αμετάβλητη, με την εναγόμενη εταιρεία να υποστηρίζει πως η παράλληλη κατοχή της θέσης του DPO και του Προέδρου του Συμβουλίου Εργαζομένων δημιουργούσε κίνδυνο σύγκρουσης συμφερόντων και συνεπαγόταν την ύπαρξη ασυμβίβαστου μεταξύ των δύο θέσεων. Συνεπώς, υφίστατο σοβαρός λόγος παύσης αυτού.
Η αγωγή έγινε δεκτή σε πρώτο και δεύτερο βαθμό. Η εναγόμενη εταιρεία άσκησε αίτηση αναίρεσης ενώπιον του Bundesarbeitsgericht.
Οι ερμηνευτικές αμφιβολίες του γερμανικού δικαστηρίου
Η διάταξη του αιτούντος δικαστηρίου περί παραπομπής στο ΔΕΕ επικαλείται την ανάγκη ερμηνείας του δικαίου της Ένωσης.
Το γερμανικό δικαστήριο δεν έχει καμία αμφιβολία ως προς το απαράδεκτο της παύσης του ενάγοντος, πριν την έναρξη εφαρμογής του ΓΚΠΔ: «Κατά το άρθρο 38, παράγραφος 2, σε συνδυασμό με το άρθρο 6, παράγραφος 4, πρώτη περίοδος, του BDSG1, η παύση του υπευθύνου προστασίας δεδομένων επιτρέπεται μόνον κατ’ αναλογική εφαρμογή του άρθρου 626 του BGB2 και, επομένως, για σοβαρό λόγο. Αυτό σημαίνει ότι οι διατάξεις του BDSG θέτουν αυστηρότερες προϋποθέσεις για την παύση του υπευθύνου προστασίας δεδομένων από εκείνες που προβλέπει το δίκαιο της Ένωσης. Με βάση το εθνικό δίκαιο, η παύση του ενάγοντος από την 1η Δεκεμβρίου 2017 δυνάμει του άρθρου 4f του BDSG, όπως ίσχυε μέχρι τις 24 Μαΐου 2018, ήταν απαράδεκτη, διότι δεν στηριζόταν σε σοβαρό λόγο».
Ως προς το ζήτημα όμως, του καθεστώτος που διέπει την παύση του DPO μετά την 25η Μαΐου 2018, το ζήτημα πρέπει να κριθεί στη σχέση του ενωσιακού δικαίου με τις ως άνω εθνικές διατάξεις.
Το δικαστήριο δεν είναι βέβαιο εάν η διάταξη του άρθρου 38 παρ.3 ΓΚΠΔ3, που αναφέρεται στην απόλυση DPO, επιτρέπει την ισχύ εθνικής διάταξης, με την οποία θεσπίζονται αυστηρότερες προϋποθέσεις. Τούτο είναι κρίσιμο διότι, όπως παρατηρείται σχετικά, εάν αποκλειόταν η εφαρμογή της εθνικής διάταξης, λόγω υπεροχής του ενωσιακού δικαίου, «η αίτηση αναιρέσεως που άσκησε η εναγομένη θα γινόταν δεκτή».
Και στην αντίθετη όμως ερμηνευτική εκδοχή, το αιτούν δικαστήριο εκφράζει τον προβληματισμό του.
Ακόμη και αν ήθελε γίνει δεκτό ότι οι απαιτήσεις του BDSG, όσον αφορά την παύση, είναι σύμφωνες με το δίκαιο της Ένωσης, υπάρχει ζήτημα ως προς το κατά πόσον η παράλληλη άσκηση των καθηκόντων του DPO και του Προέδρου του Συμβουλίου Εργαζομένων της επιχείρησης «επιφέρει σύγκρουση συμφερόντων κατά την έννοια του άρθρου 38, παράγραφος 6, δεύτερη περίοδος, του ΓΚΠΔ». Τούτο διότι, εάν γίνει δεκτό ότι μια τέτοια παράλληλη ιδιότητα δημιουργεί ζητήματα ασυμβιβάστου, τότε θα μπορούσε να κριθεί πως συνέτρεχε σοβαρός λόγος παύσης του DPO, όπως απαιτεί η εθνική νομοθεσία.
Τα ερωτήματα προς το ΔΕΕ
Υπό τους ως άνω ερμηνευτικούς προβληματισμούς, το αιτούν δικαστήριο διατύπωσε τα εξής προδικαστικά ερωτήματα:
1. Έχει το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του κανονισμού (ΕΕ) 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων, στο εξής: ΓΚΠΔ) την έννοια ότι αποκλείει διάταξη του εθνικού δικαίου, όπως εν προκειμένω το άρθρο 38, παράγραφοι 1 και 2, σε συνδυασμό με το άρθρο 6, παράγραφος 4, πρώτη περίοδος, του Bundesdatenschutzgesetz (στο εξής: BDSG), η οποία εξαρτά την παύση του υπευθύνου προστασίας δεδομένων, στην οποία προβαίνει ο υπεύθυνος επεξεργασίας που είναι εργοδότης του, από τις προϋποθέσεις που ορίζει η εν λόγω διάταξη, ανεξαρτήτως του αν η παύση πραγματοποιείται στο πλαίσιο ασκήσεως των καθηκόντων του;
Ειδικότερα,
«12. Το εθνικό δίκαιο προβλέπει ισχυρότερη προστασία από την παύση σε σύγκριση με το δίκαιο της Ένωσης. Παύση επιτρέπεται μόνο για σοβαρό λόγο.
13 Η κρίση της υποθέσεως θα είναι διαφορετική, σε περίπτωση που ο ΓΚΠΔ επιτρέπει στα κράτη μέλη να ορίζουν επιπλέον προϋποθέσεις για την παύση του υπευθύνου προστασίας δεδομένων. Εν μέρει υποστηρίζεται ότι η προστασία από την παύση που προβλέπει το άρθρο 38, παράγραφος 2, σε συνδυασμό με το άρθρο 6, παράγραφος 4, πρώτη περίοδος, του BDSG, συνιστά ουσιαστική ρύθμιση του εργατικού δικαίου, στο μέτρο που η παύση εσωτερικών υπευθύνων προστασίας δεδομένων επιφέρει, κατά κανόνα, τροποποίηση της συμβάσεως εργασίας. Όσον αφορά τις ουσιαστικές ρυθμίσεις του εργατικού δικαίου δεν υφίσταται νομοθετική αρμοδιότητα της Ένωσης βάσει του άρθρο 153 ΣΛΕΕ και για τον λόγο αυτόν, η σχετική ρύθμιση δεν αντιβαίνει στο άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ. Η αντίθετη άποψη λαμβάνει ως δεδομένο ότι η αυξημένη προστασία κατά της παύσεως δυνάμει του εθνικού δικαίου δεν συμβιβάζεται με το δίκαιο της Ένωσης στον τομέα των μη δημόσιων φορέων, καθόσον θίγει το καθεστώς των υπευθύνων προστασίας δεδομένων που ορίζονται υποχρεωτικώς με βάση το άρθρο 37, παράγραφος 1, του ΓΚΠΔ».
2. (Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα) Αποκλείει το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ τέτοια διάταξη του εθνικού δικαίου, ακόμη και αν ο ορισμός του υπευθύνου προστασίας δεδομένων δεν επιβάλλεται δυνάμει του άρθρου 37, παράγραφος 1, του ΓΚΠΔ, αλλά είναι υποχρεωτικός μόνο με βάση το δίκαιο του κράτους μέλους;
Ειδικότερα,
«14. Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα, το αιτούν δικαστήριο ζητεί να διευκρινιστεί, επίσης, εάν το δίκαιο της Ένωσης έχει την έννοια ότι η υπεροχή του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ αφορά μόνο τους υπεύθυνους προστασίας δεδομένων που πρέπει να ορίζονται υποχρεωτικώς δυνάμει του δικαίου της Ένωσης, διότι η διάταξη αυτή θα μπορούσε να θεωρηθεί εξαντλητική μόνον ως προς τούτο.
15. Οι προϋποθέσεις υπό τις οποίες επιβάλλεται ο ορισμός υπευθύνου προστασίας δεδομένων ρυθμίζονται με διαφορετικό τρόπο στο άρθρο 37, παράγραφος 1, του ΓΚΠΔ και στο άρθρο 38, παράγραφος 1, του BDSG. Συνεπώς, η προστασία από την παύση που παρέχει το άρθρο 38, παράγραφος 2, σε συνδυασμό με το άρθρο 6, παράγραφος 4, πρώτη περίοδος, του BDSG, θα μπορούσε να εξακολουθήσει να εφαρμόζεται, πέραν της διατάξεως του άρθρου 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ, όσον αφορά μόνον τους υπεύθυνους επεξεργασίας δεδομένων που πρέπει να ορίζονται υποχρεωτικώς με βάση το εθνικό δίκαιο.
16. Επιπλέον, πρέπει να αποσαφηνισθεί η έννοια που έχει, στο πλαίσιο αυτό, το άρθρο 37, παράγραφος 4, πρώτη περίοδος, δεύτερη φράση, του ΓΚΠΔ («όπου απαιτείται από το δίκαιο της Ένωσης ή του κράτους μέλους, ορίζουν υπεύθυνο προστασίας δεδομένων»). Η φράση αυτή καθιστά δυνατή την ερμηνεία ότι υπεύθυνος προστασίας δεδομένων που ορίζεται υποχρεωτικώς δυνάμει του δικαίου κράτους μέλους, ορίζεται υποχρεωτικώς και με βάση τον ΓΚΠΔ. Εάν το άρθρο 37, παράγραφος 4, πρώτη περίοδος, δεύτερη φράση, του ΓΚΠΔ έχει την έννοια αυτή, η προστασία από την παύση δυνάμει του εθνικού δικαίου (σε περίπτωση καταφατικής απαντήσεως στο πρώτο προδικαστικό ερώτημα) θα είναι απαράδεκτη, ακόμη και αν ο ορισμός του υπευθύνου προστασίας δεδομένων δεν είναι υποχρεωτικός κατά το άρθρο 37, παράγραφος 1, του ΓΚΠΔ, αλλά μόνο βάσει του εθνικού δικαίου».
3. (Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα) Στηρίζεται το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ σε επαρκή βάση εξουσιοδοτήσεως, ιδίως στο μέτρο που αφορά υπεύθυνους προστασίας δεδομένων οι οποίοι έχουν σχέση εργασίας με τον υπεύθυνο επεξεργασίας;
Ειδικότερα,
«17. Σε περίπτωση καταφατικής απαντήσεως στο πρώτο προδικαστικό ερώτημα, το αιτούν δικαστήριο ζητεί να διευκρινισθεί αν το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ στηρίζεται σε επαρκή βάση εξουσιοδοτήσεως, ιδίως στο μέτρο που αφορά υπεύθυνους προστασίας δεδομένων οι οποίοι έχουν σχέση εργασίας με τον υπεύθυνο επεξεργασίας.
18. Η θέσπιση του ΓΚΠΔ στηρίζεται, ιδίως, στο άρθρο 16 ΣΛΕΕ. Κατά την εκτίμηση του αιτούντος δικαστηρίου, κανόνες δικαίου της Ένωσης σχετικά με την επεξεργασία των δεδομένων από ιδιώτες μπορούν να θεσπιστούν, αφενός, μόνο με βάση την έννοια της «ελεύθερης κυκλοφορίας δεδομένων» που περιέχεται στο άρθρο 16, παράγραφος 2, δεύτερη περίοδος, τελευταία φράση, ΣΛΕΕ.
19. Αφετέρου, θα μπορούσε να είναι κρίσιμη η βάση εξουσιοδοτήσεως για την προσέγγιση των νομοθεσιών στην εσωτερική αγορά που προβλέπει το άρθρο 114, παράγραφος 1, ΣΛΕΕ. Ωστόσο, το άρθρο 114, παράγραφος 2, ΣΛΕΕ ενδέχεται να αποκλείει τη χρήση του άρθρου 114, παράγραφος 1, ΣΛΕΕ για τη θεμελίωση αρμοδιότητας σε σχέση με το άρθρο 38, παράγραφος 3, δεύτερη περίοδος, του ΓΚΠΔ. Πράγματι, η παράγραφος 1 του άρθρου 114 δεν εφαρμόζεται, μεταξύ άλλων, στις διατάξεις για τα δικαιώματα και τα συμφέροντα των μισθωτών. Τούτο όμως δεν αποτελεί εμπόδιο, εάν ο ΓΚΠΔ δεν επιδιώκει ειδικό σκοπό ως προς τα δικαιώματα των εργαζομένων, αλλά προκαλεί μόνον αντανακλαστικές συνέπειες σε σχέση με το νομικό καθεστώς των απασχολουμένων».
4. (Σε περίπτωση αρνητικής απαντήσεως στο πρώτο ερώτημα) Υφίσταται σύγκρουση συμφερόντων, κατά την έννοια του άρθρου 38, παράγραφος 6, δεύτερη περίοδος, του ΓΚΠΔ, όταν ο υπεύθυνος προστασίας δεδομένων ασκεί, συγχρόνως, καθήκοντα προέδρου του συμβουλίου επιχειρήσεως που έχει συγκροτηθεί στον φορέα που φέρει την ευθύνη επεξεργασίας; Προϋποθέτει η διαπίστωση τέτοιας συγκρούσεως συμφερόντων την ανάθεση ειδικών καθηκόντων στο πλαίσιο του συμβουλίου επιχειρήσεως;
Ειδικότερα,
«20. Σε περίπτωση αρνητικής απαντήσεως στο πρώτο προδικαστικό ερώτημα, πρέπει να διευκρινιστεί αν υφίσταται σύγκρουση συμφερόντων κατά την έννοια του άρθρου 38, παράγραφος 6, δεύτερη περίοδος, του ΓΚΠΔ, όταν ο υπεύθυνος προστασίας δεδομένων ασκεί, συγχρόνως, καθήκοντα προέδρου του συμβουλίου επιχειρήσεως που έχει συγκροτηθεί στον φορέα που φέρει την ευθύνη επεξεργασίας. Εάν γίνει δεκτό ότι, βάσει του δικαίου της Ένωσης, τα καθήκοντα του υπευθύνου προστασίας δεδομένων δεν συμβιβάζονται με τα καθήκοντα του προέδρου του συμβουλίου επιχειρήσεως, συντρέχει, επίσης, σοβαρός λόγος που δικαιολογεί την παύση του υπευθύνου προστασίας δεδομένων δυνάμει του άρθρου 38, παράγραφος 2, σε συνδυασμό με το άρθρο 6, παράγραφος 4, πρώτη περίοδος, του BDSG.
21. Το άρθρο 37, παράγραφος 5, του ΓΚΠΔ, ορίζει ότι ο υπεύθυνος προστασίας δεδομένων διορίζεται βάσει επαγγελματικών προσόντων και ιδίως βάσει της εμπειρογνωσίας που διαθέτει στον τομέα του δικαίου και των πρακτικών περί προστασίας δεδομένων, καθώς και βάσει της ικανότητας εκπλήρωσης των καθηκόντων του υπευθύνου προστασίας δεδομένων. Κατά το άρθρο 38, παράγραφος 6, του ΓΚΠΔ, ο υπεύθυνος προστασίας δεδομένων μπορεί να επιτελεί, καταρχήν, και άλλα καθήκοντα. Συναφώς όμως πρέπει να διασφαλίζεται, οπωσδήποτε, ότι δεν προκύπτει σύγκρουση συμφερόντων. Σύγκρουση συμφερόντων διαπιστώνεται, ιδίως, όταν ο υπεύθυνος προστασίας δεδομένων οφείλει να ασκεί έλεγχο στον εαυτό του (στο πλαίσιο της άλλης δραστηριότητάς του) ή όταν διακυβεύεται η ανεξαρτησία του υπευθύνου προστασίας δεδομένων.
22. Το ζήτημα σχετικά με το αν τα καθήκοντα του υπευθύνου προστασίας δεδομένων συμβιβάζονται με εκείνα του μέλους ή του προέδρου του συμβουλίου επιχειρήσεως είναι αμφιλεγόμενο στο εθνικό δίκαιο.
23. Μέχρι σήμερα, στη νομολογία του Bundesarbeitsgericht [ομοσπονδιακού δικαστηρίου εργατικών διαφορών, Γερμανία], γίνεται δεκτό ότι δεν υφίσταται, καταρχήν, ασυμβίβαστο μεταξύ των ως άνω καθηκόντων. Το γεγονός ότι ο υπεύθυνος προστασίας δεδομένων διαθέτει εξουσίες ελέγχου και εποπτείας έναντι του εργοδότη δεν καθιστά ένα μέλος του συμβουλίου επιχειρήσεως, εν γένει, ακατάλληλο να ασκήσει τα καθήκοντα αυτά. Η νομική κατάσταση του εργοδότη δεν θίγεται κατά τρόπο απαράδεκτο από το γεγονός ότι αυτός τίθεται έναντι υπευθύνου προστασίας δεδομένων που ασκεί συγχρόνως τα δικαιώματα του συμβουλίου επιχειρήσεως τα οποία απορρέουν από τον BetrVG.
24. Κατά το αιτούν δικαστήριο, η εν λόγω εκτίμηση ουδόλως επηρεάζεται από το ότι, εν προκειμένω, ο υπεύθυνος προστασίας δεδομένων δεν είναι «απλό» μέλος του συμβουλίου επιχειρήσεως, αλλά πρόεδρός του. Ο πρόεδρος του συμβουλίου επιχειρήσεως είναι, πρωτίστως, μέλος του συμβουλίου αυτού –όπως και τα υπόλοιπα μέλη του οργάνου. Η εξουσία εκπροσωπήσεως που απονέμει στον πρόεδρο του συμβουλίου επιχειρήσεως το άρθρο 26, παράγραφος 2, πρώτη περίοδος, του BetrVG υφίσταται μόνο στο πλαίσιο των αποφάσεων που λαμβάνει το συμβούλιο επιχειρήσεως. Επομένως, το αιτούν δικαστήριο εκτιμά ότι η θέση του προέδρου του συμβουλίου επιχειρήσεως δεν υπερέχει έναντι των «απλών» μελών του συμβουλίου επιχειρήσεως ως προς τη δυνατότητα να προκαλέσει σύγκρουση συμφερόντων.
25. Ωστόσο, η αντίθετη άποψη, η οποία υποστηρίζεται στη θεωρία, αναγνωρίζει τον κίνδυνο συγκρούσεως συμφερόντων. Υπάρχει ο αφηρημένος κίνδυνος το μέλος του συμβουλίου επιχειρήσεως είτε να δεχθεί συμβιβασμούς σχετικά με την προστασία των δεδομένων, λόγω της διττής ιδιότητάς του, προκειμένου να επιβάλει άλλους σκοπούς, είτε να επικεντρωθεί υπερβολικά στην πτυχή της προστασίας των δεδομένων των εργαζομένων και, ως εκ τούτου, να παραμελήσει άλλες δραστηριότητες ενός υπευθύνου προστασίας δεδομένων. Επιπλέον, επισημαίνεται ότι σύγκρουση συμφερόντων μπορεί να προκύψει από το γεγονός ότι ο υπεύθυνος προστασίας δεδομένων οφείλει να ασκεί τις εξουσίες εποπτείας και ελέγχου και έναντι του συμβουλίου επιχειρήσεως.
26. Σε περίπτωση που ο υπεύθυνος προστασίας δεδομένων διαθέτει, καταρχήν, τέτοιες εξουσίες εποπτείας και ελέγχου έναντι του συμβουλίου επιχειρήσεως, θα πρέπει να διευκρινισθεί εάν το γεγονός αυτό και μόνον συνεπάγεται σύγκρουση συμφερόντων που αποκλείει την ανάληψη διπλών καθηκόντων.
27. Κατά το αιτούν δικαστήριο, δεν αρκεί οποιαδήποτε διαχείριση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο άλλης δραστηριότητας για να αποκλείσει την άσκηση των καθηκόντων του υπευθύνου προστασίας δεδομένων. Αντιθέτως, η σύγκρουση συμφερόντων προϋποθέτει αυξημένη ευθύνη για πράξεις επεξεργασίας δεδομένων. Ο υπεύθυνος προστασίας δεδομένων δεν δύναται να κατέχει θέση σε όργανο η οποία έχει ως αντικείμενο τον καθορισμό των στόχων και του τρόπου επεξεργασίας δεδομένων προσωπικού χαρακτήρα (βλ. ομάδα εργασίας του άρθρου 29, WP 243, σ. 19).
28. Επιβάλλεται να αποσαφηνισθεί αν η εκτίμηση αυτή μπορεί να μεταφερθεί στη δραστηριότητα του συμβουλίου επιχειρήσεως, δηλαδή πρέπει να διευκρινισθεί μήπως δεν αρκεί η απλή εντολή του συμβουλίου επιχειρήσεως και η συναφής επεξεργασία δεδομένων προσωπικού χαρακτήρα, τον σκοπό της οποίας καθορίζει ο BetrVG, ώστε να διαπιστωθεί σύγκρουση συμφερόντων που αποκλείει τον ορισμό του υπευθύνου προστασίας δεδομένων, αλλά απαιτείται το εν λόγω πρόσωπο να έχει αναλάβει συγκεκριμένα καθήκοντα στο πλαίσιο του συμβουλίου επιχειρήσεως. Παραδείγματος χάρη, ασυμβίβαστο με τη θέση και τα καθήκοντα του υπευθύνου προστασίας δεδομένων θα μπορούσε να διαπιστωθεί εάν ο υπεύθυνος προστασίας δεδομένων, ως μέλος του συμβουλίου επιχειρήσεως, ήταν αρμόδιος για την ηλεκτρονική επεξεργασία των δεδομένων του συμβουλίου επιχειρήσεως και στο πλαίσιο τούτο όφειλε ο ίδιος να ασκεί και έλεγχο στον εαυτό του».
1 Bundesdatenschutzgesetz (ομοσπονδιακός νόμος για την προστασία δεδομένων)
2 Bürgerliches Gesetzbuch (γερμανικός αστικός κώδικας)
3 ΓΚΠΔ 38.3 εδ.β΄: «Δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία επειδή επιτέλεσε τα καθήκοντά του».