- 第 38(3) 条[数据保护官]不得因履行职责而被控制者或处理者解雇或处罚;并且
- 第 38(6) 条控制者或处理者应当确保任何此类任务和职责不会导致利益冲突。
与第 38 条相关的许多法律问题和辩论都围绕着上述两点展开,在本博客中,我们将考虑如何应用这些要求,特别是参考最近的欧洲联盟法院(欧盟法院)案件C-453/21 X-FAB Dresden GmbH & Co. KG 诉 FC。
C-453/21 X-FAB 案件事实
在进一步讨论之前,了解此案的背景和背景非常重要。2023 年 2 月 9 日,欧洲法院根据德国联邦劳工法院就第 38(3) 条和第 38(6) 条的适 目标电话号码或电话营销数据 用提出的请求作出了初步裁决。该案涉及解雇公司的 DPO,理由是据称可能存在利益冲突,因为该个人担任 DPO 并履行工会主席的职责。该公司辩称,该个人担任的两个职位不相容,因此解雇是合理的。而 DPO 则持相反观点。
第 38(3) 条 – DPO 的解雇
第 38(3) 条明确规定,DPO 不能因履行第 39 条定义的 DPO 职责而被解雇或受到处罚。此外,在之前的C-534/20 Leistritz AG v LH案件中,欧盟 销售代表都会答应并发送他们 法院澄清说,DPO 还必须受到保护,以免做出可能导致其职责终止的决定,从而使其处于不利地位或受到处罚。法院将这一要求与 DPO 必须独立行事的事实联系起来,因此不应告诉他们如何履行(或不履行)其职责。欧盟法院还解释说,这适用于 DPO,无论他们是外包的还是雇员。
根据 GDPR,对 DPO 的这种保
护并不能使他们无懈可击,因为对他们的保护仅适用于其履行 DPO 职责的范围内。因此,如果有其他理由解雇 DPO,GDPR 不会完全保护个人。然而,值得注意的是,欧洲法院指出,每个成员国都可以在法律范围内行使其保留的权限,制定有关解雇 DPO 的更具体规定。
在 X-FAB 案中,欧盟法院裁定,第 38(3) 条并不“排除国家立法”,该立法规定,控制者或处理者只有在有正当理由的情况下才可以解雇其 DPO,即使解雇与 DPO 执行任务无关,只要立法不破坏 GDPR 的目标。
利益冲突
第 38(6) 条明确规定,虽然 DPO 可以在其组织内担任其他职务,但该职务不能造成利益冲突。这意味着,DPO 不能被委托执行可能损害其 巴西商业名录 作为 DPO 的职能执行的任务或职责。
在 X-FAB 案中,欧盟法院对此的解释是,如果 DPO 被委托其他任务或职责,导致他们决定数据处理的目标和方法,则可能存在“利益冲突”。个人资料代表控制者或处理者。欧盟法院坚持认为,此类案件中的利益冲突应由国家法院根据具体情况并考虑所有事实和情况来决定。欧盟法院建议,国家法院必须审查相关公司的组织结构及其规则和政策。
这并不是唯一一个讨论利益冲突的案例。2020 年,比利时当局对一家电信服务提供商处以 50,000 欧元的罚款,原因是该服务提供商任命其审计、风险和合规总监为 DPO,并认为合并角色违反了第 38(6) 条。在本案中,比利时数据保护局 (GBA) 诉讼庭裁定,由于 DPO 也是三个部门的经理,因此他们可能会决定处理个人数据的目的和方式。此外,保密义务可能存在风险,这是所有 DPO对数据主体应尽的义务。