Wprowadzenie do ochrony danych
Ochrona danych osobowych jest w dzisiejszym, coraz bardziej zdigitalizowanym świecie kluczowa. Dzięki ogólnemu rozporządzeniu o ochronie danych (RODO) UE oraz niemieckiej federalnej ustawie o ochronie danych (BDSG) istnieją jasne i wiążące zasady dotyczące tego, jak firmy i koncerny powinny postępować z danymi klientów, pracowników i partnerów biznesowych. Szczególnie w koncernie składającym się z wielu firm, kluczowe jest, aby procesy przetwarzania danych były zgodne z prawem. RODO i BDSG regulują, w jaki sposób dane osobowe mogą być zbierane, przechowywane i przetwarzane, aby chronić prywatność i prawa osób, których dane dotyczą. Firmy i koncerny są zatem zobowiązane do konsekwentnego przestrzegania tych regulacji, aby utrzymać zaufanie osób, których dane dotyczą, oraz uniknąć ryzyka prawnego.
Koncern i ochrona danych
Koncern to połączenie kilku firm, które znajdują się pod jednolitym kierownictwem. Kierownictwo koncernu ponosi odpowiedzialność za przestrzeganie ogólnego rozporządzenia o ochronie danych (RODO) i niemieckiej federalnej ustawy o ochronie danych (BDSG) w całym koncernie. Dotyczy to wszystkich poziomów i firm w koncernie – od spółki macierzystej po spółki zależne. Zbieranie, przechowywanie i przetwarzanie danych osobowych musi odbywać się zgodnie z wymogami prawnymi w całym koncernie. Kierownictwo koncernu musi zapewnić, że wszystkie firmy w koncernie znają i wdrażają wymagania dotyczące ochrony danych, aby zapewnić bezpieczeństwo i ochronę danych. Tylko w ten sposób można osiągnąć jednolity i zgodny z prawem poziom ochrony danych w całym koncernie.
Administrator danych i inspektor ochrony danych
W ramach koncernu administratorem jest osoba lub jednostka, która decyduje o celach i środkach przetwarzania danych osobowych. Inspektor ochrony danych z kolei jest odpowiedzialny za nadzorowanie przestrzegania przepisów o ochronie danych we wszystkich firmach koncernu. Doradza kierownictwu koncernu i poszczególnym firmom we wszystkich kwestiach związanych z ochroną danych, szkoli pracowników i jest osobą kontaktową dla osób, których dane dotyczą, w sprawach związanych z ich prawami w kontekście przetwarzania ich danych osobowych. Ścisła współpraca między administratorem a inspektorem ochrony danych jest niezbędna, aby zapewnić przestrzeganie przepisów o ochronie danych w całym koncernie i skutecznie chronić prawa osób, których dane dotyczą.
Tymczasowa izba Federalnego Sądu Pracy w sprawie przekazywania danych osobowych w ramach koncernu – sygn. 8 AZR 209/21
Ochrona danych odgrywa centralną rolę również w prawie pracy. Dotyczy to nie tylko przetwarzania danych osobowych pracowników przez osoby trzecie, ale także wewnątrz koncernu. Federalny Sąd Pracy w wyroku z dnia 8 maja 2025 roku podkreślił, że nawet przy przekazywaniu danych w ramach grupy przedsiębiorstw należy przestrzegać wymogów ogólnego rozporządzenia o ochronie danych (RODO) (sygn. 8 AZR 209/21).
Organy mają ważne zadanie w stosowaniu rozporządzenia o ochronie danych (RODO): muszą zapewnić przestrzeganie przepisów o ochronie danych, w tym przepisów o ochronie danych w poszczególnych krajach, oraz wdrażanie środków dotyczących zbierania danych i ochrony danych osobowych w Internecie. W określonych przypadkach zadania te i środki są regulowane odpowiednimi artykułami rozporządzenia, aby chronić prawa osób, których dane dotyczą – jak obywatele, użytkownicy i opinia publiczna – oraz zapewniać przejrzystość.
Od rekrutacji do zakończenia stosunku pracy w miejscu pracy zbiera się i przetwarza wiele danych pracowników. Pracodawcy muszą przy tym zwłaszcza przestrzegać przepisów ogólnego rozporządzenia o ochronie danych (RODO) oraz niemieckiej federalnej ustawy o ochronie danych (BDSG), jak podkreśla kancelaria prawna MTR Legal Rechtsanwälte, która doradza między innymi w dziedzinie prawa ochrony danych.
RODO musi być przestrzegane przy wewnętrznym przekazywaniu danych w koncernie
Wymogi RODO muszą być także przestrzegane przy wewnętrznym przekazywaniu danych w koncernie, jak pokazuje wyrok Federalnego Sądu Pracy z dnia 8 maja 2025 roku. BAG jasno stwierdził, że pracownik ma prawo do odszkodowania z tytułu naruszenia RODO.
W opisywanym przypadku pracodawca przekazał dane osobowe pracownika wewnątrz koncernu do spółki macierzystej. Powodem było to, że nowa oprogramowanie oparte na chmurze miało być testowane na potrzeby zarządzania personalnego. Dzięki oprogramowaniu miano wprowadzić konzern-wide nowy system zarządzania personelem.
Tymczasowy test nowego systemu zarządzania personelem został wcześniej uregulowany porozumieniem zakładowym. Zgodnie z porozumieniem można było przekazywać nazwisko, datę rozpoczęcia stosunku pracy, firmę, miejsce pracy oraz służbowy numer telefonu i adres e-mail. Pracodawca przekazał jednak również informacje o wynagrodzeniu, dacie urodzenia, stanie cywilnym, numerze ubezpieczenia społecznego, identyfikatorze podatkowym i adresie prywatnym pracownika.
Stosowanie rozporządzenia o ochronie danych i odpowiednich artykułów dotyczy nie tylko przedsiębiorstw, ale także organów, mając na celu ochronę praw użytkowników, osób, których dane dotyczą, i obywateli. Środki i metody zbierania danych oraz ochrony danych osobowych w Internecie, a także przestrzeganie przepisów o ochronie danych poszczególnych krajów, są kluczowym zadaniem i należą do centralnych zadań, aby zapewnić przejrzystość wobec opinii publicznej.
Dane przekazane bez wystarczającej podstawy prawnej
Powód wniósł sprzeciw. Argumentował, że jego dane zostały przetworzone bez wystarczającej podstawy prawnej, ponieważ wykorzystanie rzeczywistych danych w fazie testowej nie było konieczne i tym samym naruszało zasady minimalizacji danych i ograniczenia celu zgodnie z art. 5 RODO. Ponadto, przetwarzanie nie było objęte istniejącym porozumieniem zakładowym. Zgłosił na podstawie art. 82 ust. 1 RODO roszczenie o odszkodowanie niemajątkowe z tytułu naruszenia RODO.
Po tym, jak sądy niższej instancji odrzuciły jego pozew, ostatecznie trafiła ona przed Federalny Sąd Pracy. BAG najpierw zasięgnął opinii Europejskiego Trybunału Sprawiedliwości. Trybunał, w wyroku z dnia 19 grudnia 2024 roku stwierdził, że zapisy dotyczące przetwarzania danych w porozumieniu zakładowym muszą być zgodne z wymogami RODO. BAG zgodził się z tą interpretacją i zdecydował, że powód ma prawo do odszkodowania.
Stosowanie odpowiednich artykułów rozporządzenia o ochronie danych, a także krajowych przepisów o ochronie danych ma kluczowe znaczenie dla zadań i realizacji obowiązków przez organy oraz ochrony dotkniętych nimi obywateli i użytkowników w każdym przypadku. Środki dotyczące gromadzenia danych oraz ochrony danych osobowych w Internecie muszą być także wdrażane pod kątem przejrzystości wobec opinii publicznej.
Roszczenie o niematerialne odszkodowanie
Pracodawca przekazał więcej danych niż pozwalało na to porozumienie zakładowe do spółki macierzystej. To nie było konieczne i stanowiło naruszenie RODO, jak podkreśliło BAG. Przez przekazanie danych osobowych do spółki macierzystej, powód utracił kontrolę nad swoimi danymi i poniósł w ten sposób niematerialną szkodę, co BAG wyraźnie zaznaczyło.
Wyrok pokazuje, że przekazywanie danych w ramach koncernu powinno zawsze być sprawdzane pod kątem zgodności z prawem ochrony danych. Wymogi dotyczące ochrony danych osobowych zawarte w RODO muszą być w pełni przestrzegane. Obejmuje to w szczególności zasady minimalizacji danych, ograniczenia celu oraz przejrzystości.
Wdrożenie odpowiednich środków oraz konsekwentne stosowanie rozporządzenia o ochronie danych i odpowiednich artykułów jest niezbędne dla ochrony osób, których dane dotyczą, jak i obywateli oraz użytkowników, a także realizacji zadań i obowiązków organów we wszystkich przypadkach. To obejmuje zbieranie danych w Internecie, przestrzegania przepisów o ochronie danych poszczególnych krajów oraz przejrzystość wobec opinii publicznej.
Wymagania dotyczące przetwarzania danych osobowych w stosunku pracy
Zasadniczo przetwarzanie danych osobowych w stosunku pracy jest dozwolone tylko wtedy, gdy istnieje odpowiednia podstawa prawna. Dotyczy to np. sytuacji, gdy przetwarzanie danych jest konieczne do realizacji umowy o pracę. Ponadto, przetwarzanie danych jest dozwolone, gdy pracownik wyraził na nie zgodę. Ważne jest, aby zgoda była wyrażona dobrowolnie, była konkretna i mogła być wycofana. Przetwarzanie danych może być również dozwolone, gdy pracodawca może przedstawić uzasadniony interes w celu ochrony bezpieczeństwa przedsiębiorstwa, a interesy lub podstawowe prawa pracownika nie przeważają przeciw temu.
Wyrok BAG podkreśla znaczenie odpowiedzialnego podejścia do danych pracowniczych oraz konieczność wczesnego i kompleksowego uwzględnienia aspektów ochrony danych w procesach przedsiębiorstwa.
MTR Legal Rechtsanwälte doradza w zakresie prawa pracy i prawa ochrony danych.
Zapraszamy do kontaktu z nami!
Stosowanie rozporządzenia o ochronie danych i odpowiednich artykułów oraz wdrożenie odpowiednich środków dotyczących zbierania danych w Internecie i przestrzegania przepisów o ochronie danych poszczególnych krajów jest kluczowe dla ochrony dotkniętych, obywateli i użytkowników oraz realizacji zadań i obowiązków organów w każdym przypadku i wobec opinii publicznej.
