Εισαγωγή στην Προστασία Δεδομένων
Η προστασία των προσωπικών δεδομένων είναι ιδιαίτερα σημαντική στον σημερινό, ολοένα και πιο ψηφιοποιημένο κόσμο. Με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) της ΕΕ και τον Ομοσπονδιακό Νόμο Προστασίας Δεδομένων (BDSG) υπάρχουν σαφείς και δεσμευτικοί κανόνες για το πώς πρέπει οι εταιρείες και οι όμιλοι να διαχειρίζονται τα δεδομένα των πελατών, των εργαζομένων και των επιχειρηματικών εταίρων. Ειδικά σε έναν όμιλο που αποτελείται από πολλές εταιρείες, είναι κρίσιμο οι διαδικασίες επεξεργασίας δεδομένων εντός του ομίλου να σχεδιάζονται σύμφωνα με το νόμο. O ΓΚΠΔ και το BDSG καθορίζουν το πώς μπορεί να συλλέγονται, αποθηκεύονται και επεξεργάζονται τα προσωπικά δεδομένα για να προστατεύεται η ιδιωτικότητα και τα δικαιώματα των προσώπων που εμπίπτουν στις διατάξεις. Οι εταιρείες και οι όμιλοι είναι συνεπώς υποχρεωμένοι να τηρούν αυστηρά αυτές τις διατάξεις για να διατηρούν την εμπιστοσύνη των ενδιαφερομένων και να αποφεύγουν νομικούς κινδύνους.
Όμιλος και Προστασία Δεδομένων
Ένας όμιλος είναι μια σύνδεση πολλών εταιρειών που βρίσκονται υπό κεντρική διαχείριση. Η διεύθυνση του ομίλου φέρει την ευθύνη να τηρούνται οι κανονισμοί του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) και του Ομοσπονδιακού Νόμου Προστασίας Δεδομένων (BDSG) σε όλο τον όμιλο. Αυτό αφορά όλα τα επίπεδα και τις εταιρείες του ομίλου, από τη μητρική μέχρι τις θυγατρικές εταιρείες. Η συλλογή, αποθήκευση και επεξεργασία προσωπικών δεδομένων πρέπει να γίνεται στον όμιλο σύμφωνα με τις νόμιμες διατάξεις. Η διεύθυνση του ομίλου πρέπει να διασφαλίσει ότι όλες οι εταιρείες του ομίλου γνωρίζουν και εφαρμόζουν τις απαιτήσεις προστασίας δεδομένων, για να εξασφαλίσουν την ασφάλεια και την προστασία των δεδομένων. Μόνο έτσι μπορεί να επιτευχθεί ένα ενιαίο και νομικά ασφαλές επίπεδο προστασίας δεδομένων σε ολόκληρο τον όμιλο.
Υπεύθυνος και Υπεύθυνος Προστασίας Δεδομένων
Σε έναν όμιλο, ο Υπεύθυνος είναι το άτομο ή η οντότητα που αποφασίζει για τους σκοπούς και τα μέσα επεξεργασίας των προσωπικών δεδομένων. Ο Υπεύθυνος Προστασίας Δεδομένων, από την άλλη, είναι αρμόδιος για την επίβλεψη της συμμόρφωσης με τις κανονιστικές διατάξεις προστασίας δεδομένων σε όλες τις εταιρείες του ομίλου. Συμβουλεύει τη διεύθυνση του ομίλου και τις μεμονωμένες εταιρείες σε όλες τις ερωτήσεις που αφορούν την προστασία δεδομένων, εκπαιδεύει το προσωπικό και είναι το σημείο επαφής για τα ενδιαφερόμενα πρόσωπα όσον αφορά τα δικαιώματά τους που σχετίζονται με την επεξεργασία των προσωπικών τους δεδομένων. Μια στενή συνεργασία μεταξύ του Υπεύθυνου και του Υπεύθυνου Προστασίας Δεδομένων είναι ζωτικής σημασίας για να διασφαλιστεί η συμμόρφωση με τις ρυθμίσεις προστασίας δεδομένων σε ολόκληρο τον όμιλο και η αποτελεσματική προστασία των δικαιωμάτων των ενδιαφερομένων.
BAG για τη διαβίβαση προσωπικών δεδομένων εντός ομίλου – Az. 8 AZR 209/21
Η προστασία δεδομένων παίζει κεντρικό ρόλο επίσης στο εργατικό δίκαιο. Αυτό αφορά όχι μόνο τη διαχείριση προσωπικών δεδομένων εργαζομένων απέναντι σε τρίτους, αλλά και εντός ενός ομίλου. Το Ομοσπονδιακό Δικαστήριο Εργασίας (BAG) διευκρίνισε με απόφαση της 8ης Μαΐου 2025 ότι οι διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) πρέπει επίσης να τηρούνται κατά τη διαβίβαση δεδομένων εντός του επιχειρηματικού ομίλου (Az. 8 AZR 209/21).
Οι αρχές έχουν μια σημαντική αποστολή κατά την εφαρμογή της Κανονιστικής Διάταξης Προστασίας Δεδομένων (ΓΚΠΔ): Πρέπει να διασφαλίσουν τη συμμόρφωση με τους νόμους προστασίας δεδομένων, συμπεριλαμβανομένων των κρατικών νόμων προστασίας δεδομένων και να εφαρμόσουν μέτρα για τη συλλογή και την προστασία των προσωπικών δεδομένων στο Διαδίκτυο. Σε ορισμένες περιπτώσεις, αυτές οι αποστολές και τα μέτρα ρυθμίζονται από αντίστοιχα άρθρα της διάταξης για να προστατευθούν τα δικαιώματα των ενδιαφερομένων, όπως οι πολίτες, οι χρήστες και το κοινό και να εξασφαλιστεί η διαφάνεια.
Από την αίτηση μέχρι τη λήξη της εργασιακής σχέσης, πολλά δεδομένα των εργαζομένων συλλέγονται και επεξεργάζονται στον τόπο εργασίας. Σε αυτή τη διαδικασία, οι εργοδότες πρέπει να προσέχουν συγκεκριμένα τις διατάξεις του Γενικού Κανονισμού Προστασίας Δεδομένων (ΓΚΠΔ) καθώς και του Ομοσπονδιακού Νόμου Προστασίας Δεδομένων (BDSG), όπως συμβουλεύει το δικηγορικό γραφείο MTR Legal Rechtsanwälte, το οποίο παρέχει συμβουλές μεταξύ άλλων και στο δίκαιο προστασίας δεδομένων.
Η ΓΚΠΔ πρέπει να τηρείται κατά τη διαβίβαση δεδομένων εντός ομίλου
Οι διατάξεις του ΓΚΠΔ πρέπει επίσης να τηρούνται κατά τη διαβίβαση δεδομένων εντός ομίλου, όπως εμφανίζει η απόφαση του Ομοσπονδιακού Δικαστηρίου Εργασίας της 8ης Μαΐου 2025. Το BAG καθόρισε ότι ένας εργαζόμενος μπορεί να αξιώσει αποζημίωση λόγω παραβίασης του ΓΚΠΔ.
Στην υπόθεση στην οποία βασίζεται η απόφαση, ο εργοδότης είχε διαβιβάσει προσωπικά δεδομένα ενός εργαζόμενου σε μια υπερκείμενη εταιρεία του ομίλου. Ο λόγος ήταν ότι έπρεπε να δοκιμαστεί μια νέα λογισμικη εφαρμογή βασισμένη στα σύννεφα για τη διοίκηση ανθρώπινου δυναμικού. Με το λογισμικό αυτό έπρεπε να εισαχθεί ένα νέο σύστημα διαχείρισης ανθρωπίνων πόρων στον όμιλο.
Η προδικηματική δοκιμή του νέου συστήματος διαχείρισης ανθρωπίνου δυναμικού είχε ρυθμιστεί προηγουμένως μέσω μιας συμφωνίας με το συμβούλιο εργασίας. Σύμφωνα με τη συμφωνία, επιτρεπόταν η διαβίβαση ονομάτων, έναρξης της εργασιακής σχέσης, εταιρείας, τόπου εργασίας καθώς και της επαγγελματικής τηλεφωνικής γραμμής και της ηλεκτρονικής διεύθυνσης. Ωστόσο, ο εργοδότης προχώρησε στην παροχή επιπρόσθετων πληροφοριών όπως μισθός, ημερομηνία γέννησης, οικογενειακή κατάσταση, αριθμός κοινωνικής ασφάλισης, φορολογικό ΑΦΜ και ιδιωτική διεύθυνση του εργαζομένου στην εταιρεία του ομίλου.
Η εφαρμογή της Κανονιστικής Διάταξης Προστασίας Δεδομένων και των αντίστοιχων άρθρων δεν αφορά μόνο τις επιχειρήσεις αλλά και τις αρχές για την προστασία των δικαιωμάτων των χρηστών, των ενδιαφερομένων και των πολιτών σε όλα τα περιπτώσεις. Τα μέτρα και οι δράσεις για τη συλλογή και την προστασία των προσωπικών δεδομένων στο Διαδίκτυο και τη συμμόρφωση με τους κρατικούς νόμους προστασίας δεδομένων αποτελούν κρίσιμη αποστολή και είναι απαραίτητα για τη διαφάνεια απέναντι στο κοινό.
Δεδομένα διαβιβάστηκαν χωρίς επαρκή νομική βάση
Ο ενάγων αντιτάχθηκε. Υποστήριξε ότι τα δεδομένα του επεξεργάστηκαν χωρίς επαρκή νομική βάση, καθώς η χρήση πραγματικών δεδομένων στη φάση δοκιμής δεν ήταν αναγκαία και συνεπώς παραβίαζε τις αρχές ελαχιστοποίησης των δεδομένων και της καταλληλότητας σύμφωνα με το Άρθρο 5 του ΓΚΠΔ. Επιπλέον, η επεξεργασία δεν καλύφθηκε από τη συμφωνία με το συμβούλιο εργασίας. Έκανε αξίωση για άυλη αποζημίωση σύμφωνα με το Άρθρο 82, παράγραφος 1 του ΓΚΠΔ λόγω παραβίασης του ΓΚΠΔ.
Αφού τα προηγούμενα δικαστήρια απέρριψαν την προσφυγή του, αυτή κατέληξε τελικά στο Ομοσπονδιακό Δικαστήριο Εργασίας. Το BAG απεύθυνε ερώτηση στο Δικαστήριο της Ευρωπαϊκής Ένωσης. Το ΔΕΕ αποφάνθηκε με απόφαση της 19ης Δεκεμβρίου 2024 ότι οι ρυθμίσεις για την επεξεργασία δεδομένων σε μια συμφωνία με το συμβούλιο εργασίας πρέπει να τηρούν τις διατάξεις του ΓΚΠΔ. Το BAG ευθυγραμμίστηκε με αυτή τη νομολογία και αποφάσισε ότι ο ενάγων έχει δικαίωμα σε αποζημίωση.
Η εφαρμογή των σχετικών άρθρων της Κανονιστικής Διάταξης Προστασίας Δεδομένων καθώς και των κρατικών νόμων προστασίας δεδομένων είναι κρίσιμη για την αποστολή και την επίτευξη της αποστολής των αρχών και την προστασία των ενδιαφερομένων πολιτών και χρηστών σε όλες τις περιπτώσεις. Τα μέτρα για τη συλλογή και την προστασία των προσωπικών δεδομένων στο Διαδίκτυο πρέπει να εφαρμοστούν επίσης σε σχέση με τη διαφάνεια προς το κοινό.
Δικαίωμα άυλης αποζημίωσης
Ο εργοδότης είχε διαβιβάσει στην ανώτερη εταιρεία του ομίλου περισσότερα δεδομένα από όσα επιτρεπόταν σύμφωνα με τη συμφωνία με το συμβούλιο εργασίας. Αυτό δεν ήταν απαραίτητο και συνιστά παραβίαση του ΓΚΠΔ, διευκρίνισε το BAG. Με τη διαβίβαση των προσωπικών δεδομένων στην ανώτερη εταιρεία του ομίλου, ο ενάγων έχασε τον έλεγχο των δεδομένων του και αυτό του προκάλεσε άυλη ζημιά, διευκρίνισε παραπέρα το BAG.
Η απόφαση δείχνει ότι η διαβίβαση δεδομένων εντός ενός ομίλου πρέπει να εξετάζεται πάντα υπό το πρίσμα του δικαίου προστασίας δεδομένων. Οι απαιτήσεις προστασίας δεδομένων του ΓΚΠΔ πρέπει να τηρούνται πλήρως. Αυτό περιλαμβάνει ιδιαιτέρως τις αρχές της ελαχιστοποίησης των δεδομένων, της καταλληλότητας και της διαφάνειας.
Η εφαρμογή κατάλληλων μέτρων και η συνεπής εφαρμογή της Κανονιστικής Διάταξης Προστασίας Δεδομένων καθώς και των σχετικών άρθρων είναι απαραίτητη για την προστασία των ενδιαφερομένων, όπως οι πολίτες και οι χρήστες, και για την επίτευξη των αποστολών των αρχών σε όλες τις περιπτώσεις. Αυτό περιλαμβάνει τη συλλογή δεδομένων στο Διαδίκτυο, τη συμμόρφωση με τους κρατικούς νόμους προστασίας δεδομένων καθώς και τη διαφάνεια απέναντι στο κοινό.
Απαίτηση για την επεξεργασία προσωπικών δεδομένων στην εργασιακή σχέση
Κατά βάση, η επεξεργασία προσωπικών δεδομένων στην εργασιακή σχέση επιτρέπεται μόνο αν υπάρχει αντίστοιχη νομική βάση. Αυτό ισχύει, για παράδειγμα, όταν η επεξεργασία των δεδομένων είναι απαραίτητη για την εκτέλεση της εργασιακής σύμβασης. Επιπλέον, η επεξεργασία των δεδομένων επιτρέπεται αν ο εργαζόμενος έχει δώσει τη συγκατάθεσή του. Είναι σημαντικό ότι η συγκατάθεση δίνεται εθελοντικά, είναι συγκεκριμένη και μπορεί να ανακληθεί. Η επεξεργασία δεδομένων μπορεί επίσης να είναι ανεκτή αν ο εργοδότης μπορεί να αποδείξει ένα έννομο συμφέρον για τη διασφάλιση της ασφαλείας της επιχείρησης και δεν αντιβαίνουν υπέρτερα συμφέροντα ή θεμελιώδη δικαιώματα του εργαζομένου.
Η απόφαση του BAG υπογραμμίζει τη σημασία μιας υπεύθυνης διαχείρισης των δεδομένων των εργαζομένων και την αναγκαιότητα να ενσωματώνονται τα ζητήματα προστασίας δεδομένων ολιστικά και έγκαιρα στις διαδικασίες των επιχειρήσεων.
MTR Legal Rechtsanwälte παρέχει συμβουλές στο εργατικό δίκαιο και Νομοθεσία Προστασίας Δεδομένων.
Επικοινωνήστε μαζί μας!
Η εφαρμογή της Κανονιστικής Διάταξης Προστασίας Δεδομένων και των σχετικών άρθρων καθώς και η εφαρμογή κατάλληλων μέτρων για τη συλλογή στο Διαδίκτυο και η τήρηση των κρατικών νόμων προστασίας δεδομένων είναι κρίσιμη για την προστασία των ενδιαφερομένων, των πολιτών, των χρηστών και για την εκπλήρωση των αποστολών και των αποστολών των αρχών σε όλες τις περιπτώσεις και απέναντι στο κοινό.
