Úvod do ochrany osobních údajů
Ochrana osobních údajů je v dnešním stále více digitalizovaném světě klíčová. S nařízením o ochraně osobních údajů (GDPR) EU a Spolkovým zákonem o ochraně osobních údajů (BDSG) existují jasná a závazná pravidla, jak mají společnosti a korporace nakládat s daty zákazníků, zaměstnanců a obchodních partnerů. Zejména v korporaci, která se skládá z více společností, je rozhodující, aby byly procesy zpracování dat v rámci korporace právně konformní. GDPR a BDSG upravují, jak mohou být osobní údaje shromažďovány, ukládány a zpracovávány, aby byla chráněna soukromí a práva dotčených osob. Společnosti a korporace jsou proto povinny důsledně dodržovat tyto předpisy, aby si udržely důvěru dotčených osob a vyhnuly se právním rizikům.
Korporace a ochrana osobních údajů
Korporace je sdružení několika společností, které jsou pod jednotným vedením. Vedení korporace nese odpovědnost za to, že v rámci celé korporace jsou dodržovány zásady nařízení o ochraně osobních údajů (GDPR) a Spolkového zákona o ochraně osobních údajů (BDSG). To se týká všech úrovní a společností korporace – od mateřské společnosti po dceřiné společnosti. Shromažďování, ukládání a zpracování osobních údajů musí probíhat podle právních předpisů v celém korporačním rámci. Vedení korporace musí zajistit, aby všechny společnosti v korporaci znaly a realizovaly požadavky na ochranu dat, aby byla zajištěna bezpečnost a ochrana dat. Pouze tak lze dosáhnout jednotné a právně bezpečné úrovně ochrany osobních údajů v celé korporaci.
Odpovědná osoba a pověřenec pro ochranu osobních údajů
V rámci korporace je odpovědnou osobou osoba nebo subjekt, který rozhoduje o účelech a prostředcích zpracování osobních údajů. Pověřenec pro ochranu osobních údajů má však na starosti dohled nad dodržováním předpisů o ochraně osobních údajů ve všech společnostech korporace. Radí vedení korporace a jednotlivým společnostem ve všech otázkách týkajících se ochrany údajů, školí zaměstnance a je kontaktní osobou pro dotčené osoby, pokud jde o jejich práva v souvislosti se zpracováním jejich osobních údajů. Úzká spolupráce mezi odpovědnou osobou a pověřencem pro ochranu osobních údajů je nezbytná pro zajištění dodržování předpisů o ochraně osobních údajů v celé korporaci a efektivní ochranu práv dotčených osob.
BAG k předávání osobních údajů v rámci korporace – Az. 8 AZR 209/21
Ochrana osobních údajů hraje klíčovou roli i v pracovním právu. To se netýká pouze nakládání s osobními údaji zaměstnanců vůči třetím stranám, ale také v rámci korporace. Spolkový pracovní soud rozsudkem z 8. května 2025 zdůraznil, že i při předávání údajů v rámci skupiny podniků musí být dodržovány předpisy nařízení o ochraně osobních údajů (GDPR) (Az. 8 AZR 209/21).
Úřady mají důležitou úlohu při aplikaci nařízení o ochraně osobních údajů (GDPR): musí zajistit dodržování zákonů o ochraně osobních údajů, včetně státních zákonů o ochraně osobních údajů, a provádět opatření pro shromažďování a ochranu osobních údajů na internetu. V určitých případech jsou tyto úkoly a opatření upraveny příslušnými články nařízení, aby byla zajištěna práva dotčených osob – jako jsou občané, uživatelé a veřejnost – a zajištěna průhlednost.
Od přijetí do ukončení pracovního poměru jsou na pracovišti shromažďována a zpracovávána četná data zaměstnanců. Zaměstnavatelé musí přitom zejména dodržovat předpisy nařízení o ochraně osobních údajů (GDPR) a Spolkového zákona o ochraně osobních údajů (BDSG), jak uvádí právní kancelář MTR Legal , která m.j. poskytuje poradenství v oblasti ochrany osobních údajů.
GDPR musí být při interním předávání dat dodržována
Předpisy GDPR musí být dodržovány i při interním předávání dat, jak ukazuje rozsudek Spolkového pracovního soudu z 8. května 2025. BAG objasnil, že zaměstnanec může mít nárok na náhradu škody za porušení GDPR.
V základním případu zaměstnavatel předal osobní údaje zaměstnance v rámci korporace mateřské společnosti. Důvodem bylo, že měla být testována nová cloudová softwarová aplikace pro personální řízení. Tímto softwarem mělo být v celé korporaci zavedeno nové personální řízení.
Předběžný testovací provoz nového systému personálního řízení byl předem upraven v podnikové dohodě. Podle dohody mohly být předávány jméno, začátek pracovního poměru, firma, pracoviště, stejně jako služební telefonní číslo a e-mailová adresa. Zaměstnavatel však navíc předal mateřské společnosti informace o platu, datum narození, rodinný stav, číslo sociálního pojištění, daňové identifikační číslo a soukromou adresu zaměstnance.
Aplikace nařízení o ochraně osobních údajů a příslušných článků se nevztahuje pouze na společnosti, ale také na úřady, aby chránila práva uživatelů, dotčených osob a občanů. Opatření pro shromažďování a ochranu osobních údajů na internetu a dodržování státních zákonů o ochraně osobních údajů jsou ve všech případech důležitým úkolem a patří k centrálním úlohám, aby byla zajištěna průhlednost vůči veřejnosti.
Data předána bez dostatečného právního základu
Proti tomu se žalobce bránil. Tvrdil, že jeho data byla zpracována bez dostatečného právního základu, protože použití reálných dat v testovací fázi nebylo nutné a tedy v rozporu s principy minimalizace a účelovosti dle čl. 5 GDPR. Navíc zpracování nebylo pokryto stávající podnikovou dohodou. Podle čl. 82 odst. 1 GDPR uplatnil nárok na nehmotnou škodu kvůli porušení GDPR.
Po zamítnutí jeho žaloby předchozími instancemi skončila před Spolkovým pracovním soudem. BAG nejprve požádal Evropský soudní dvůr o rozhodnutí. Evropský soudní dvůr rozhodl rozsudkem ze dne 19. prosince 2024, že předpisy pro zpracování dat ve firemní dohodě musí odpovídat požadavkům GDPR. Tuto judikaturu BAG následně přijal a rozhodl, že žalobce má nárok na náhradu škody.
Aplikace relevantních článků nařízení o ochraně osobních údajů a státních zákonů o ochraně osobních údajů je pro úkoly a funkce úřadů a ochranu dotčených občanů i uživatelů ve všech případech klíčová. Opatření pro získávání dat a ochranu osobních údajů na internetu musí být také zohledněna s ohledem na průhlednost vůči veřejnosti.
Nárok na nehmotnou škodu
Zaměstnavatel poskytl mateřské společnosti více dat, než bylo podle podnikové dohody povoleno. To nebylo nutné a představovalo to porušení GDPR, jak BAG jasně konstatoval. Předáním osobních údajů mateřské společnosti ztratil žalobce kontrolu nad svými daty a tím utrpěl nehmotnou škodu, jak také BAG dále zdůraznil.
Rozsudek ukazuje, že i předání dat v rámci korporace by mělo být vždy přezkoumáno s ohledem na právní předpisy ochrany osobních údajů. Požadavky GDPR na ochranu osobních údajů musí být zcela dodržovány. To zahrnuje zejména principy minimalizace dat, účelovosti a průhlednosti.
Implementace vhodných opatření a důsledné dodržování nařízení o ochraně osobních údajů a příslušných článků je nezbytné pro ochranu dotčených osob, jako jsou občané a uživatelé, a plnění úkolů úřadů ve všech případech. To zahrnuje i shromažďování dat na internetu, dodržování státních zákonů o ochraně osobních údajů a průhlednost vůči veřejnosti.
Požadavky na zpracování osobních údajů v pracovním poměru
Zásadně je zpracování osobních údajů v pracovním poměru povoleno pouze tehdy, existuje-li pro to odpovídající právní základ. To platí například, pokud je zpracování dat nezbytné pro plnění pracovní smlouvy. Kromě toho je zpracování dat povoleno, pokud zaměstnanec udělí svůj souhlas. Důležité je, aby byl souhlas udělen dobrovolně, byl specifický a mohl být odvolán. Zpracování dat může být také povoleno, pokud může zaměstnavatel prokázat oprávněný zájem na ochraně bezpečnosti podniku a neexistují převládající zájmy nebo základní práva zaměstnance, které by tomu bránily.
Rozsudek BAG zdůrazňuje význam odpovědného přístupu k údajům zaměstnanců a nutnost začlenit aspekty ochrany osobních údajů včas a důkladně do podnikových procesů.
MTR Legal poskytuje poradenství v pracovním právu a Ochrana osobních údajů.
Neváhejte nás kontaktovat !
Aplikace nařízení o ochraně osobních údajů a příslušných článků a implementace vhodných opatření pro získávání dat na internetu a dodržování státních zákonů o ochraně osobních údajů jsou pro ochranu dotčených osob, občanů a uživatelů a pro plnění úkolů a povinností úřadů v každém případě a vůči veřejnosti klíčové.
