Uvod u zaštitu podataka
Zaštita osobnih podataka od ključne je važnosti u današnjem, sve više digitaliziranom svijetu. S Općom uredbom o zaštiti podataka (GDPR) EU-a i Bundesdatenschutzgesetz (BDSG) postoje jasna i obvezujuća pravila o tome kako tvrtke i korporacije trebaju postupati s podacima klijenata, zaposlenika i poslovnih partnera. Osobito u korporaciji koja se sastoji od više tvrtki, važno je da svi procesi obrade podataka unutar korporacije budu u skladu s pravnim propisima. GDPR i BDSG reguliraju kako se osobni podaci smiju prikupljati, pohranjivati i obrađivati kako bi se zaštitila privatnost i prava pogođenih osoba. Tvrtke i korporacije stoga su obvezne dosljedno poštovati ove propise kako bi očuvali povjerenje pogođenih osoba i izbjegli pravne rizike.
Korporacija i zaštita podataka
Korporacija je udruženje više tvrtki koje podliježu jedinstvenom vodstvu. Uprava korporacije odgovorna je za to da se unutar cijele korporacije poštuju odredbe Opće uredbe o zaštiti podataka (GDPR) i Saveznog zakona o zaštiti podataka (BDSG). To se odnosi na sve razine i poduzeća unutar korporacije, od matične tvrtke do podružnica. Prikupljanje, pohrana i obrada osobnih podataka mora se odvijati unutar korporacije prema zakonskim zahtjevima. Uprava korporacije mora osigurati da sve tvrtke unutar korporacije poznaju i primjenjuju zahtjeve zakona o zaštiti podataka kako bi se osigurala sigurnost i zaštita podataka. Samo tako može se postići jedinstvena i pravno sigurna razina zaštite podataka u cijeloj korporaciji.
Odgovorna osoba i službenik za zaštitu podataka
Unutar korporacije, odgovorna osoba je osoba ili mjesto koje odlučuje o svrsi i sredstvu obrade osobnih podataka. Službenik za zaštitu podataka, s druge strane, odgovoran je za nadzor nad poštovanjem propisa o zaštiti podataka u svim tvrtkama unutar korporacije. On savjetuje upravu korporacije i pojedine tvrtke o svim pitanjima zaštite podataka, obučava zaposlenike i kontaktna je osoba za pogođene osobe u vezi s njihovim pravima u vezi s obradom njihovih osobnih podataka. Uska suradnja između odgovorne osobe i službenika za zaštitu podataka ključna je kako bi se osiguralo poštovanje propisa o zaštiti podataka u cijeloj korporaciji i učinkovito zaštitila prava pogođenih osoba.
BAG o prijenosu osobnih podataka unutar korporacije – Az. 8 AZR 209/21
Zaštita podataka također igra ključnu ulogu u radnom pravu. To se odnosi ne samo na postupanje s osobnim podacima zaposlenika prema trećim stranama već i unutar korporacije. Savezni sud za rad naglasio je presudom od 8. svibnja 2025. godine da čak i pri prijenosu podataka unutar korporacijske grupe moraju se poštivati odredbe Opće uredbe o zaštiti podataka (GDPR) (Az. 8 AZR 209/21).
Vlasti imaju važnu ulogu u primjeni Opće uredbe o zaštiti podataka (GDPR): moraju osigurati poštivanje zakona o zaštiti podataka, uključujući zakone o zaštiti podataka na državnoj razini, i provoditi mjere za prikupljanje i zaštitu osobnih podataka na internetu. U određenim situacijama, ove zadatke i mjere reguliraju odgovarajući članci uredbe kako bi se sačuvala prava onih na koje se podaci odnose – poput građana, korisnika i javnosti – i osigurala transparentnost.
Od prijave za posao do prekida radnog odnosa, na radnom mjestu se prikupljaju i obrađuju brojni podaci zaposlenika. Poslodavci moraju posebno poštovati odredbe Opće uredbe o zaštiti podataka (GDPR) te Saveznog zakona o zaštiti podataka (BDSG), kako navodi pravna tvrtka MTR Legal Rechtsanwälte, koja savjetuje u vezi s pravom zaštite podataka.
GDPR se mora poštovati prilikom prijenosa podataka unutar korporacije
Odredbe GDPR-a moraju se poštovati i prilikom prijenosa podataka unutar korporacije, što pokazuje presuda Saveznog suda za rad od 8. svibnja 2025. godine. BAG je jasno naveo da radnik može imati pravo na odštetu zbog kršenja GDPR-a.
U predmetnom slučaju, poslodavac je prenio osobne podatke radnika unutar korporacije matičnom društvu korporacije. Razlog je bio testiranje novog cloud sustava za upravljanje osobljem. Sustav je trebao biti uveden za novo upravljanje osobljem unutar cijele korporacije.
Prethodni probni rad novog sustava upravljanja osobljem bio je reguliran putem poduzećnog sporazuma. Prema sporazumu, smjeli su se prenositi ime, početak radnog odnosa, firma, mjesto rada, kao i službeni telefonski broj i e-pošta. Međutim, poslodavac je također prenio informacije o plaći, datumu rođenja, bračnom statusu, broju socijalnog osiguranja, poreznom ID-u i privatnoj adresi radnika kompaniji u korporaciji.
Primjena uredbe o zaštiti podataka i odgovarajućih članaka ne vrijedi samo za tvrtke, već i za vlasti kako bi zaštitili prava korisnika, pogođenih osoba i građana. Mjere za prikupljanje podataka i zaštitu osobnih podataka na internetu, kao i poštivanje zakona o zaštiti podataka na državnoj razini, važan su zadatak i pripadaju glavnim zadacima kako bi se osigurala transparentnost prema javnosti.
Podaci preneseni bez odgovarajuće pravne osnove
Tužitelj se tome protivio. Tvrdio je da su njegovi podaci obrađeni bez odgovarajuće pravne osnove jer upotreba stvarnih podataka u fazi testiranja nije bila potrebna te je time prekršena načela minimizacije podataka i svrhovitosti prema članku 5. GDPR-a. Nadalje, obrada nije bila obuhvaćena postojećim poduzećnim sporazumom. Tvrdio je pravo na nematerijalnu odštetu prema članku 82. stavak 1. GDPR-a zbog povrede GDPR-a.
Nakon što su prethodne instance odbile njegovu tužbu, ona je konačno stigla pred Savezni sud za rad. BAG je najprije zatražio presudu Europskog suda. Sud EU-a presudio je 19. prosinca 2024. godine da odredbe o obradi podataka u poduzećnom sporazumu moraju biti u skladu s GDPR-om. BAG se složio s ovom sudskom praksom i odlučio da tužitelj ima pravo na odštetu.
Primjena relevantnih članaka uredbe o zaštiti podataka, kao i zakona o zaštiti podataka na državnoj razini, ključna je za zadatke i ispunjenje zadataka vlasti te zaštitu pogođenih građana i korisnika u svim slučajevima. Mjere za prikupljanje podataka i zaštitu osobnih podataka na internetu također moraju biti provedene s obzirom na transparentnost javnosti.
Pravo na nematerijalnu odštetu
Poslodavac je prenio više podataka nego što je to dozvoljeno poduzećnim sporazumom prema matičnom društvu korporacije. To nije bilo potrebno i predstavlja kršenje GDPR-a, istaknuo je BAG. Prenosom osobnih podataka na matično društvo korporacije, tužitelj je izgubio kontrolu nad svojim podacima i time pretrpio nematerijalnu štetu, dodatno je istaknuo BAG.
Presuda pokazuje da se prijenos podataka unutar korporacije uvijek treba provjeravati u pogledu prava na zaštitu podataka. Potpuno poštivanje zahtjeva GDPR-a je nužno. To uključuje posebno načela minimizacije podataka, svrhovitosti i transparentnosti.
Provođenje odgovarajućih mjera i dosljedna primjena uredbe o zaštiti podataka, kao i relevantnih članaka, ključne su za zaštitu pogođenih osoba, poput građana i korisnika, i ispunjenje zadataka i dužnosti vlasti u svim slučajevima. To uključuje prikupljanje podataka na internetu, poštivanje zakona o zaštiti podataka na državnoj razini, kao i transparentnost prema javnosti.
Zahtjevi za obradu osobnih podataka u radnom odnosu
U osnovi je obrada osobnih podataka u radnom odnosu dopuštena samo ako postoji odgovarajuća pravna osnova za to. To vrijedi, primjerice, kada je obrada podataka potrebna kako bi se ispunio radni ugovor. Nadalje, obrada podataka dopuštena je kada je radnik dao svoju privolu. Važno je da se privola daje dobrovoljno, da je specifična i da se može povući. Obrada podataka također može biti dopuštena ako poslodavac može dokazati da ima legitimni interes za očuvanje sigurnosti tvrtke i ne postoje prevladavajući interesi ili temeljna prava radnika koja se tome protive.
Presuda sudskog vijeća BAG naglašava važnost odgovornog postupanja s podacima zaposlenika i potrebu da se aspekti zaštite podataka rano i opširno integriraju u poslovne procese.
MTR Legal Rechtsanwälte savjetuju u radnom pravu i Pravo zaštite podataka.
Slobodno kontaktirajte nas!
Primjena uredbe o zaštiti podataka i relevantnih članaka, kao i provođenje odgovarajućih mjera za prikupljanje podataka na internetu i poštovanje zakona o zaštiti podataka na državnoj razini, od presudne su važnosti za zaštitu pogođenih osoba, građana i korisnika te za ispunjavanje zadataka i dužnosti vlasti u svim slučajevima i prema javnosti.
