Bevezetés az adatvédelembe
A személyes adatok védelme napjaink egyre digitálisabbá váló világában központi jelentőségű. Az EU Általános Adatvédelmi Rendeletének (GDPR) és a Szövetségi Adatvédelmi Törvénynek (BDSG) köszönhetően világos és kötelező érvényű szabályok léteznek arra vonatkozóan, hogyan kell a vállalatoknak és cégeknek a vásárlók, alkalmazottak és üzleti partnerek adataival bánniuk. Különösen egy olyan cégcsoportban, amely több vállalkozásból áll, elengedhetetlen, hogy az adatkezelési folyamatokat a cégcsoporton belül jogszerűen alakítsák ki. A GDPR és a BDSG szabályozzák, hogyan gyűjthetők, tárolhatók és dolgozhatók fel a személyes adatok a magánélet és az érintettek jogainak védelme érdekében. A vállalatok és cégek kötelesek ezeket az előírásokat következetesen betartani, hogy megőrizzék az érintettek bizalmát és elkerüljék a jogi kockázatokat.
Cégcsoport és adatvédelem
Egy cégcsoport több olyan vállalat egyesülése, amely egy közös irányítás alatt áll. A cégcsoport irányítása felelős azért, hogy a teljes cégcsoporton belül betartsák az Általános Adatvédelmi Rendelet (GDPR) és a Szövetségi Adatvédelmi Törvény (BDSG) előírásait. Ez a cégcsoport minden szintjét és vállalatát érinti – az anyavállalattól a leányvállalatokig. A személyes adatok gyűjtésének, tárolásának és feldolgozásának a jogszabályi előírások szerint kell történnie a cégcsoport egészében. A cégcsoport irányítása köteles biztosítani, hogy a cégcsoport mindegyik vállalata ismeri és megvalósítja az adatvédelmi követelményeket, hogy biztosítsa az adatok biztonságát és védelmét. Csak így érhető el egységes és jogilag biztos adatvédelmi szint a teljes cégcsoportban.
Felelős személy és adatvédelmi tisztviselő
A cégcsoporton belül a felelős személy az a személy vagy szervezet, amely eldönti, milyen célokra és eszközökkel történik a személyes adatok feldolgozása. Az adatvédelmi tisztviselő feladata ezzel szemben az, hogy a cégcsoport minden vállalatában felügyelje az adatvédelmi előírások betartását. Tanácsot ad a cégcsoport vezetőségének és az egyes vállalatoknak minden adatvédelmi kérdésben, oktatja a munkavállalókat és az érintettek kapcsolattartója, ha azok adatkezeléssel kapcsolatos jogaikról van szó. Szoros együttműködés a felelős személy és az adatvédelmi tisztviselő között elengedhetetlen, hogy biztosítsák az adatvédelmi előírások betartását a teljes cégcsoportban, és hatékonyan védjék az érintettek jogait.
A BAG ítélete személyes adatok cégcsoporton belüli továbbadásáról – Az. 8 AZR 209/21
Az adatvédelem a munkajogban is központi szerepet játszik. Ez nem csupán az alkalmazottak személyes adatainak harmadik felek részére történő kezelésére vonatkozik, hanem egy cégcsoporton belül is. A Német Szövetségi Munkaügyi Bíróság 2025. május 8-i ítéletével világossá tette, hogy a cégcsoporton belül is be kell tartani az Általános Adatvédelmi Rendelet (GDPR) előírásait (Az. 8 AZR 209/21).
A hatóságok feladata az adatvédelmi rendelet (GDPR) alkalmazásakor fontos: biztosítaniuk kell az adatvédelmi törvények, ideértve a tartományi adatvédelmi törvényeket is, betartását, és intézkedéseket kell hozniuk az adatok összegyűjtése és a személyes adatok védelme érdekében az interneten. Bizonyos esetekben ezek az intézkedések és feladatok a rendelet megfelelő cikkei alapján szabályozottak, hogy az érintettek – mint például az állampolgárok, felhasználók és a nyilvánosság – jogait megőrizzék és az átláthatóságot biztosítsák.
Az álláspályázatoktól kezdve, az alkalmazotti viszony megszűnéséig, számos alkalmazotti adatot gyűjtenek és dolgoznak fel a munkahelyen. Az alkalmazóknak különösen az Általános Adatvédelmi Rendelet (GDPR) és a Szövetségi Adatvédelmi Törvény (BDSG) előírásait kell betartaniuk, állítja az MTR Legal ügyvédi iroda, amely többek között adatvédelmi jogban ad tanácsot.
A GDPR-t figyelembe kell venni az adatok cégcsoporton belüli továbbítása során
A GDPR előírásait az adatok cégcsoporton belüli továbbítása során is be kell tartani, ahogyan azt a Német Szövetségi Munkaügyi Bíróság 2025. május 8-i ítélete mutatja. A BAG világossá tette, hogy a munkavállaló kártérítési igényt támaszthat a GDPR megsértése miatt.
A szóban forgó esetben a munkáltató a munkavállaló személyes adatait a cégcsoporton belül egy cégcsoport fölérendelt szervezetének továbbította. Ennek oka az volt, hogy egy új, felhőalapú szoftvert kívántak tesztelni a személyzeti igazgatás érdekében. Ezzel a szoftverrel szerették volna bevezetni egy új, cégszintű személyzeti menedzsment rendszert.
Az új személyzeti menedzsment rendszer ideiglenes tesztelését egy korábbi kollektív szerződés rendezte. A megállapodás értelmében közölni lehetett a név, a munkaviszony kezdete, a cég, a munkavégzés helye, valamint az üzleti telefonszám és az email cím. Azonban a munkáltató a fizetés, születési dátum, családi állapot, társadalombiztosítási szám, adóazonosító és a magánlakcím információit is továbbította a cégcsoport vállalatának.
Az adatvédelmi rendelet alkalmazása és az illetékes cikkek nemcsak a vállalatokra, hanem a hatóságokra is vonatkoznak, hogy a felhasználók, érintettek és állampolgárok jogait védjék. Az adatgyűjtésre és a személyes adatok védelmére szolgáló intézkedések, valamint a tartományi adatvédelmi törvények betartása minden esetben fontos feladat és központi kihívás, hogy az átláthatóság biztosítva legyen a nyilvánosság felé.
Adatok jogalap nélkül történő továbbítása
Ez ellen az alperes védekezett. Azt állította, hogy adatait jogalap nélkül kezelték, mert az éles adatok használata a tesztidőszak során nem volt szükséges, és így sérti az 5. cikk GDPR szerinti adatminimalizálás és célhoz kötöttség elveit. Továbbá a feldolgozás nem volt lefedve a létező kollektív szerződés által. Az 82. cikk 1. bekezdése szerint nem vagyoni kártérítési igényt támasztott a GDPR megsértése miatt.
Miután az alacsonyabb szintű bíróságok elutasították a keresetét, végül a Német Szövetségi Munkaügyi Bíróság előtt kötött ki. A BAG először az Európai Bírósághoz fordult. Az EUB 2024. december 19-i ítéletével világossá tette, hogy az adatkezelés szabályoknak egy kollektív szerződésben a GDPR rendelkezéseinek megfelelően kell lenniük. A BAG csatlakozott ehhez a joggyakorlathoz és úgy döntött, hogy az alperesnek joga van kártérítéshez.
Az adatvédelmi rendelet és a tartományi adatvédelmi törvények alkalmazása az összes esetben és helyzetben a hatóságok feladataira és az érintett állampolgárok és felhasználók védelmére központi jelentőséggel bír. A személyes adatok védelmére és az internetes adatgyűjtésre vonatkozó intézkedések végrehajtását az átláthatóság biztosítása érdekében is meg kell valósítani.
Nem vagyoni kártérítés iránti igény
A munkáltató több adatot adott át a cégcsoport fölérendelt szervezetének, mint amennyit a kollektív szerződés megengedett. Ez nem volt szükséges, és a GDPR megsértését jelentette, tette világossá a BAG. A személyes adatok cégcsoport fölérendelt szervezetének történő továbbításával az alperes elvesztette az irányítást adatai felett és emiatt nem vagyoni kár érte, világossá tette a BAG.
Az ítélet rámutat, hogy a cégcsoporton belüli adatátadásnak is az adatvédelmi jog szempontjából vizsgálva kell történnie. A GDPR adatvédelmi követelményeit teljes mértékben be kell tartani. Ez különösen magában foglalja az adatminimalizálás, a célhoz kötöttség és az átláthatóság elveit.
Az alkalmas intézkedések végrehajtása és az adatvédelmi rendelet folyamatos alkalmazása, valamint az érintett, például állampolgárok és felhasználók védelme és a hatóságok feladatai végrehajtása minden körülmények között elengedhetetlen. Ez magában foglalja az internetes adatgyűjtést, a tartományi adatvédelmi törvények betartását és a nyilvánossággal szembeni átláthatóságot.
Személyes adatok kezelésének követelményei a munkaviszonyban
Alapvetően a személyes adatok kezelése a munkaviszonyban csak akkor megengedett, ha van rá jogalap. Ez érvényes például akkor, ha az adatkezelés szükséges a munkaszerződés teljesítéséhez. Ezen túlmenően az adatkezelés akkor is megengedett, ha a munkavállaló beleegyezését adta. Fontos, hogy a beleegyezés önkéntes, konkrét legyen és visszavonható. Az adatkezelés akkor is megengedett lehet, ha a munkáltató jogos érdekét igazolni tudja a vállalat biztonságának megőrzésére, és ez nem ütközik a munkavállaló felülkerekedő érdekeivel vagy alapjogaival.
A BAG ítélete hangsúlyozza a munkavállalói adatok felelős kezelésének fontosságát, valamint azt, hogy az adatvédelmi szempontokat már korán és átfogóan integrálni kell az üzemi folyamatokba.
Az MTR Legal ügyvédi iroda munkajogi és adatvédelmi jogi.
Örömmel adunk kapcsolatot hozzánk!
Az adatvédelmi rendelet és a releváns cikkek alkalmazása, valamint az internetes adatgyűjtésre vonatkozó intézkedések végrehajtása és a tartományi adatvédelmi törvények betartása az érintettek, állampolgárok és felhasználók védelmét, valamint a hatóságok feladatai és a nyilvánossággal szembeni átláthatóság végrehajtását minden körülmények között központi jelentőséggel bír.
