מבוא להגנת המידע
הגנת המידע האישי היא בעלת חשיבות מרכזית בעולם הדיגיטלי המתקדם של היום. עם תקנת הגנת המידע הכללית (GDPR) של האיחוד האירופי וחוק הגנת המידע הפדרלי (BDSG) קיימים כללים ברורים ומחייבים לגבי האופן שבו עסקים ותאגידים צריכים לטפל במידע של לקוחות, עובדים ושותפים עסקיים. במיוחד בתאגיד המורכב ממספר חברות, חשוב שהתהליכים לעיבוד המידע יהיו בהתאם לחוק. ה-GDPR וה-BDSG מסדירים כיצד ניתן לאסוף, לאחסן ולעבד מידע אישי כדי להגן על הפרטיות והזכויות של האנשים המושפעים. לכן, עסקים ותאגידים מחויבים לפעול לפי תקנות אלו באופן מוחלט, כדי לשמור על אמון המושפעים ולהימנע מסיכונים משפטיים.
תאגיד והגנת מידע
תאגיד הוא איחוד של מספר חברות הנמצאות תחת ניהול מאוחד. הנהלת התאגיד אחראית לכך שבתוך כל התאגיד יתקיימו הוראות תקנת הגנת המידע הכללית (GDPR) וחוק הגנת המידע הפדרלי (BDSG). זה נוגע לכל הרמות והחברות בתאגיד – מהחברה האם ועד לחברות הבנות. איסוף, אחסון ועיבוד של מידע אישי חייבים להתבצע ברחבי התאגיד לפי הדרישות החוקיות. הנהלת התאגיד חייבת להבטיח שכל החברות בתאגיד מודעות ומיישמות את הדרישות החוקיות להגנת מידע כדי להבטיח את הבטיחות וההגנה על המידע. רק כך ניתן להשיג רמת הגנה אחידה וחוקית בתאגיד כולו.
אחראי וממונה להגנת המידע
בתוך תאגיד, האחראי הוא הגוף או האדם שמחליט על המטרות והאמצעים לעיבוד מידע אישי. הממונה להגנת המידע, לעומת זאת, אחראי על לוודא שהציות לתקנות הגנת המידע מתבצע בכל החברות בתאגיד. הוא מייעץ להנהלת התאגיד ולחברות בנוגע לכל נושאי הגנת המידע, מלמד עובדים ונקודת קשר לאנשים המושפעים, כשמדובר בזכויות שלהם בנוגע לעיבוד של המידע האישי שלהם. שיתוף פעולה הדוק בין האחראי והממונה להגנת המידע הוא הכרחי כדי להבטיח ציות לתקנות הגנת המידע בתאגיד כולו ולהגן ביעילות על זכויות המושפעים.
בית הדין הפדרלי לעבודה על העברת מידע אישי בתוך תאגיד – מס' תיק 8 AZR 209/21
הגנת המידע משחקת תפקיד מרכזי גם בדיני העבודה. זה נוגע לא רק לטיפול במידע אישי של עובדים כלפי גורמים שלישיים, אלא גם בתוך תאגיד. בית הדין הפדרלי לעבודה הבהיר בפסיקה מיום 8 במאי 2025, שגם בעת העברת מידע בתוך קבוצת חברות יש לעמוד בהוראות תקנת הגנת המידע הכללית (GDPR) (מס' תיק 8 AZR 209/21).
רשויות חייבות לבצע תפקיד חשוב ביישום תקנת הגנת המידע (GDPR): עליהן להבטיח את הציות לחוקי הגנת מידע, כולל חוקי הגנת המידע המחוזיים, ולפעול למען היישום של צעדים לאיסוף מידע והגנת מידע אישי באינטרנט. במקרים מסוימים, תפקידים וצעדים אלה מוסדרים על ידי תקנות מתאימות, כדי להבטיח את זכויות המושפעים – כמו אזרחים, משתמשים והציבור – ולהבטיח שקיפות.
ממועמדות עד כשהקשר העבודה מסתיים, נאספים ומעובדים בעבודה כמויות ניכרות של מידע אישי של עובדים. בתוך כך על המעסיק להקפיד במיוחד על הוראות תקנת הגנת המידע הכללית (GDPR) וחוק הגנת המידע הפדרלי (BDSG), כפי שמייעצים פרקליטי MTR Legal המומחים גם לדיני הגנת מידע.
יש לעמוד בדרישות ה-GDPR בעת העברת מידע פנים-תאגידית
הדרישות של ה-GDPR חייבות להתקיים גם בעת העברת מידע פנים-תאגידית, כפי שמראה פסיקת בית הדין הפדרלי לעבודה מיום 8 במאי 2025. בית המשפט קבע כי לעובד מגיע פיצוי בגין הפרה של ה-GDPR.
במקרה המובא, המעסיק העביר מידע אישי של עובד בתוך התאגיד לחברה עליונה בתאגיד, כי נבחנה תוכנה חדשה מבוססת ענן לניהול כוח אדם. התוכנה התכוונה להכניס מערכת ניהול משאבי אנוש חדשה ברחבי התאגיד.
גרסת ניסיון לפני ההפעלה של מערכת ניהול משאבי האנוש החדשה נקבעה בהסכם עבודה קיבוצי קודם לכן. בהסכם הותרו להעברה שם, תאריך תחילת העבודה, חברה, מיקום עבודה וגם מספר טלפון ודואר עסקיים. המעסיק העביר גם מידע כמו שכר, תאריך לידה, מצב משפחתי, מספר ביטוח לאומי, מספר ת.ז. מס וכתובת פרטית של העובד לחברת התאגיד.
היישום של תקנת הגנת המידע והמאמרים הרלוונטיים אינם חלים רק על חברות, אלא גם על רשויות, למען ההגנה על זכויות המשתמשים, המושפעים והאזרחים. צעדים לאיסוף מידע ולהגנת מידע אישי באינטרנט והציות לחוקי הגנת המידע המחוזיים הם משימה מרכזית בכל המקרים ויש להבטיח שקיפות כלפי הציבור.
מידע הועבר ללא בסיס משפטי מספיק
העובד התנגד לכך. הוא טען שהמידע שלו עובד ללא בסיס משפטי מספיק, מכיוון שהשימוש במידע אמיתי בשלב הניסוי לא היה נדרש ולכן הפר את עקרונות צמצום המידע והגבלת מטרה לפי סעיף 5 של ה-GDPR. בנוסף, העיבוד לא היה מכוסה בהסכם העבודה הקיבוצי הקיים. הוא תבע פיצוי על נזק לא-ממוני לפי סעיף 82 פסקה 1 של ה-GDPR עקב הפרת התקנות.
לאחר שהערכאות הקודמות דחו את תביעתו, היא הגיעה לבית הדין הפדרלי לעבודה. בית המשפט הפנה תחילה לבית המשפט האירופי לצדק. בפסיקה מיום 19 בדצמבר 2024 קבע בית המשפט האירופי לצדק שהסדרים לעיבוד מידע בהסכם עבודה קיבוצי חייבים לעמוד בתנאי ה-GDPR. בית הדין הפדרלי הסכים לפסיקה זו וקבע שהעובד זכאי לפיצוי.
היישום של המאמרים הרלוונטיים מתקנת הגנת המידע וחוקי הגנת המידע המחוזיים הוא היבט מרכזי למשימות וסיפוק המטלות של הרשויות וההגנה על האזרחים והמשתמשים בכל המקרים. תצריך לשים דגש על צעדי איסוף מידע והגנה על מידע אישי באינטרנט ולהבטיח שקיפות כלפי הציבור.
תביעה לפיצוי על נזק לא-ממוני
המעסיק העביר מידע רב מהמותר לפי ההסכם לחברת תאורת התאגיד. לא היה צורך בכך והוא מהווה הפרה של ה-GDPR, כפי שהבהיר בית המשפט. על ידי העברת המידע האישי לחברת תאורת התאגיד איבד העובד שליטה על המידע שלו וסבל מכך נזק לא-ממוני, הבהיר בית המשפט.
הפסיקה מדגישה כי יש לבחון בהתאם לדרישות חוקי הגנת המידע כל העברה של מידע, גם בתוך תאגיד. הדרישות החוקיות להגנת מידע של ה-GDPR חייבות להתקיים במלואן. זה כולל במיוחד את עקרונות צמצום המידע, הגבלת מטרה ושקיפות.
היישום של צעדים מתאימים והיישום המלא של תקנת הגנת המידע והמאמרים הרלוונטיים הם הכרחיים להגנת המושפעים, כמו אזרחים ומשתמשים, ולסיפוק המטלות ותפקידים של הרשויות בכל המקרים. זה כולל איסוף מידע באינטרנט, הציות לחוקי הגנת המידע המחוזיים והשקיפות כלפי הציבור.
דרישה לעיבוד מידע אישי בקשרי עבודה
עקרונית, עיבוד מידע אישי בקשרי עבודה מותר רק אם קיים לכך בסיס משפטי מתאים. זה נכון, למשל, אם עיבוד המידע נדרש כדי לקיים את חוזה העבודה. בנוסף, עיבוד המידע מותר אם העובד נותן את הסכמתו. חשוב שההסכמה תהיה נתונה מרצון, ספציפית וניתנת לביטול. עיבוד המידע יכול להיות מותר גם אם המעסיק מציג אינטרס לגיטימי להגנה על בטיחות החברה ואין אינטרסים או זכויות יסוד של העובד שמנוגדות לכך.
הפסיקה של בית הדין הפדרלי לעבודה מבהירה את החשיבות של טיפול אחראי במידע אישי של עובדים והצורך לשלב היבטי הגנת מידע מוקדם ומקיף בתהליכים ארגוניים.
מTR Legal Rechtsanwälte מייעצים בדיני עבודה ו דיני הגנת המידע.
מוזמנים ליצור קשר איתנו!
היישום של תקנת הגנת המידע והמאמרים הרלוונטיים וכן ביצוע צעדים לאיסוף מידע באינטרנט והציות לחוקי הגנת המידע המחוזיים הם בעלי חשיבות מרכזית להגנה על המושפעים, אזרחים ומשתמשים וכן לסיפוק המשימות ותפקידים של הרשויות בכל המקרים ועל הציבור.
