Въведение в защитата на данните
Защитата на личните данни е от съществено значение в днешния, все по-цифровизиран свят. С Общия регламент относно защита на данните (GDPR) на ЕС и Федералния закон за защита на данните (BDSG) съществуват ясни и обвързващи правила за това как предприятията и компаниите трябва да се справят с данните на клиенти, служители и бизнес партньори. Особено в група от компании, която се състои от няколко фирми, е от съществено значение процесите на обработка на данни в рамките на компанията да се осъществяват в съответствие със закона. GDPR и BDSG регулират как могат да се събират, съхраняват и обработват лични данни, за да се защити поверителността и правата на засегнатите лица. Поради това предприятията и компаниите са задължени да спазват последователно тези разпоредби, за да запазят доверието на засегнатите лица и да избегнат правни рискове.
Концерн и защита на данните
Концернът е обединение на няколко предприятия, които са под единно ръководство. Ръководството на концерна носи отговорността да гарантира, че в целия концерн се спазват разпоредбите на Общия регламент относно защита на данните (GDPR) и Федералния закон за защита на данните (BDSG). Това се отнася за всички нива и предприятия в концерна – от компанията-майка до дъщерните компании. Събирането, съхранението и обработката на лични данни трябва да се извършват в съответствие с правните разпоредби за целия концерн. Ръководството на концерна трябва да се увери, че всички фирми в концерна са наясно с изискванията на защитата на данните и ги изпълняват, за да се осигури безопасността и защитата на данните. Само по този начин може да се постигне единно и правно обезпечено ниво на защита на данните в целия концерн.
Отговорник и служител по защита на данните
В рамките на един концерн, отговорникът е лицето или органът, който решава за целите и средствата на обработка на лични данни. Служителят по защита на данните обаче отговаря за надзора по спазването на правилата за защита на данните във всички фирми на концерна. Той консултира ръководството на концерна и отделните фирми по всички въпроси, свързани със защитата на данните, обучава служителите и е контактно лице за засегнатите лица, когато става въпрос за правата им във връзка с обработката на личните им данни. Тясното сътрудничество между отговорника и служителя по защита на данните е от съществено значение, за да се осигури спазването на правилата за защита на данните в целия концерн и да се защитят ефективно правата на засегнатите лица.
BAG относно препредаването на лични данни в рамките на концерн – Az. 8 AZR 209/21
Защитата на данните играе централна роля и в трудовото право. Това засяга не само отношението с личните данни на служителите спрямо трети лица, но и в рамките на един концерн. Федералният съд по труда в решение от 8 май 2025 г. заяви категорично, че при препредаването на данните в рамките на групата от компании трябва да се спазват изискванията на Общия регламент относно защита на данните (GDPR) (Az. 8 AZR 209/21).
Органите имат важна роля при прилагането на Регламент за защита на данните (GDPR): те трябва да осигурят спазването на законите за защита на данните, включително държавните закони за защита на данните, и да прилагат мерки за събиране и защита на личните данни в интернет. В определени случаи тези задачи и мерки се регулират от съответните членове на регламента, за да се запазят правата на засегнатите лица – като граждани, потребители и обществото – и да се осигури прозрачност.
От кандидатстването до прекратяването на трудовото отношение на работното място се събират и обработват многобройни данни на служителите. Работодателите трябва особено да спазват разпоредбите на Общия регламент относно защита на данните (GDPR) както и Федералния закон за защита на данните (BDSG), съветва правната кантора MTR Legal Rechtsanwälte , която предоставя консултации, включително по право на защита на данните.
GDPR трябва да се спазва при предаване на данни в рамките на концерн
Изискванията на GDPR трябва да се спазват и при вътрешно предаване на данни в рамките на концерн, както показва решението на Федералния съд по труда от 8 май 2025 г. BAG уточни, че работникът може да има право на обезщетение за вреди поради нарушение на GDPR.
В разглеждания случай работодателят предаде лични данни на служител към компанията-майка на концерна. Причината беше тестването на нов софтуер, базиран в облак, за управление на персонал. Софтуерът трябваше да въведе нова система за управление на персонала в целия концерн.
Предварителното тестване на новата система за управление на персонала беше уредено предварително в предприятиен договор. Според договора можеха да се предават име, начало на трудовото отношение, фирма, място на работа, както и служебният телефонен номер и имейл адрес. Освен това работодателят предаде също информация за заплатата, дата на раждане, семейно положение, номер на социалната осигуровка, данъчен номер и личен адрес на служителя към компанията от концерна.
Прилагането на Регламент за защита на данните и съответните членове е важна задача не само за предприятията, но и за органите, за да защитят правата на потребителите, засегнатите лица и гражданите и да покажат прозрачност пред обществото. Мерките за събиране на данни и защита на личните данни в интернет, както и спазването на държавните закони за защита на данните, са важна задача във всички случаи и са от централно значение, за да се осигури прозрачност пред обществото.
Данни, предадени без достатъчно правно основание
Кандидатът се противопостави на това. Той твърдеше, че данните му са обработвани без достатъчно правно основание, тъй като използването на реални данни по време на тестовата фаза не е било необходимо и по този начин противоречи на принципите на минимизация на данните и целева обвързаност съгласно член 5 от GDPR. Освен това, обработването не е било покрито от съществуващото предприятиено споразумение. Той предяви иск съгласно член 82, ал. 1 от GDPR за нематериално обезщетение за нарушения на GDPR.
След като долните инстанции отхвърлиха иска му, той в крайна сметка стигна до Федералния съд по труда. BAG първо се обърна към Европейския съд. Съдът на ЕС с решение от 19 декември 2024 г. посочи, че правилата за обработка на данни в предприятиено споразумение трябва да отговарят на изискванията на GDPR. BAG се присъедини към това законодателство и постанови, че кандидатът има право на обезщетение.
Прилагането на релевантните членове на Регламент за защита на данните както и държавните закони за защита на данните е от централно значение за задачите и изпълнението на задачите на органите и защитата на засегнатите граждани и потребители във всички случаи. Мерките за събиране на данни и защита на личните данни в интернет трябва да се прилагат и по отношение на прозрачността пред обществото.
Право на нематериално обезщетение
Работодателят е предал повече данни, отколкото е било разрешено съгласно предприятионото споразумение към компанията-майка на концерна. Това не е било необходимо и представлява нарушение на GDPR, посочи BAG категорично. Чрез предаване на личните данни към компанията-майка на концерна, кандидатът е загубил контрол върху данните си и по този начин е понесъл нематериални вреди, уточни BAG.
Решението показва, че предаването на данни в рамките на концерн винаги трябва да бъде разгледано в светлината на законите за защита на данните. Изискванията на GDPR за защита на данните трябва да бъдат напълно спазени. Това включва по-специално принципите на минимизация на данните, целева обвързаност и прозрачност.
Прилагането на подходящи мерки и последователното прилагане на Регламент за защита на данните както и релевантните членове са задължителни за защитата на засегнатите, като граждани и потребители, и за изпълнението на задачите и задачите на органите във всички случаи. Това включва събирането на данни в интернет, спазването на държавните закони за защита на данните, както и прозрачността пред обществото.
Изисквания за обработка на лични данни в трудовото отношение
По принцип обработката на лични данни в трудовото отношение е разрешена само ако съществува съответно правно основание за това. Това е в сила, когато обработката на данни е необходима за изпълнението на трудовия договор. Освен това обработката на данни е допустима, ако служителят е дал съгласието си. Важно е съгласието да бъде доброволно, специфично и да може да бъде оттеглено. Обработката на данни може да бъде допустима и ако работодателят може да докаже легитимен интерес за опазването на сигурността на предприятието и няма преобладаващи интереси или основни права на служителя, които да противоречат на това.
Решението на BAG подчертава важността на отговорното управление на данните на служителите и необходимостта да се интегрират аспектите на защитата на данните рано и изчерпателно в процесите на работа.
MTR Legal Rechtsanwälte съветва по трудово право и закони за защита на данните.
Моля, вземете контакт с нас!
Прилагането на Регламент за защита на данните и релевантните членове както и прилагането на подходящи мерки за събиране на данни в интернет и спазването на държавните закони за защита на данните са от централно значение за защитата на засегнатите, гражданите и потребителите, както и за изпълнението на задачите и задачите на органите във всички случаи и пред обществото.
