Introducere în protecția datelor
Protecția datelor cu caracter personal este de importanță crucială în lumea noastră din ce în ce mai digitalizată. Cu Regulamentul general privind protecția datelor (GDPR) al UE și Legea federală privind protecția datelor (BDSG) există reguli clare și obligatorii pentru modul în care companiile și grupurile corporative trebuie să gestioneze datele clienților, angajaților și partenerilor de afaceri. În mod special în cadrul unui grup corporativ alcătuit din mai multe companii, este esențial ca procesele de prelucrare a datelor din cadrul grupului să fie conforme cu legea. GDPR și BDSG reglementează modul în care pot fi colectate, stocate și prelucrate datele cu caracter personal pentru a proteja confidențialitatea și drepturile persoanelor vizate. Companiile și grupurile corporative sunt, așadar, obligate să respecte constant aceste reguli pentru a menține încrederea persoanelor vizate și pentru a evita riscurile legale.
Grup și protecția datelor
Un grup este o asociere de mai multe companii care sunt conduse de o singură administrație. Conducerea grupului este responsabilă de respectarea cerințelor Regulamentului general privind protecția datelor (GDPR) și a Legii federale privind protecția datelor (BDSG) în întregul grup. Aceasta se aplică tuturor nivelelor și companiilor din grup – de la societatea-mamă până la filialele sale. Colectarea, stocarea și prelucrarea datelor cu caracter personal trebuie efectuate în cadrul întregului grup conform cerințelor legale. Conducerea grupului trebuie să se asigure că toate companiile din grup cunosc și aplică cerințele legale privind protecția datelor, pentru a asigura securitatea și protecția datelor. Numai astfel se poate atinge un nivel uniform și legal de protecție a datelor în întregul grup.
Responsabil și responsabilul cu protecția datelor
În cadrul unui grup, responsabilul este persoana sau entitatea care decide asupra scopurilor și mijloacelor de prelucrare a datelor cu caracter personal. În schimb, responsabilul cu protecția datelor este cel care trebuie să supravegheze respectarea reglementărilor privind protecția datelor din toate companiile grupului. El consiliază conducerea grupului și companiile individuale cu privire la toate aspectele legate de protecția datelor, instruiește angajații și este persoana de contact pentru cei vizați, în ceea ce privește drepturile lor în legătură cu prelucrarea datelor lor cu caracter personal. O colaborare strânsă între responsabil și responsabilul cu protecția datelor este esențială pentru a asigura respectarea reglementărilor privind protecția datelor în întregul grup și pentru a proteja efectiv drepturile celor vizați.
BAG privind transferul datelor cu caracter personal în cadrul unui grup – Az. 8 AZR 209/21
Protecția datelor joacă un rol central și în dreptul muncii. Aceasta nu se referă doar la modul în care se gestionează datele cu caracter personal ale angajaților față de terți, ci și în cadrul unui grup. Curtea Federală de Muncă a subliniat, prin decizia din 8 mai 2025, că, și în cazul transferului de date în cadrul grupului, trebuie respectate cerințele Regulamentului general privind protecția datelor (GDPR) (Az. 8 AZR 209/21).
Autoritățile au o sarcină importantă în aplicarea regulamentului GDPR: trebuie să asigure respectarea legislației privind protecția datelor, inclusiv a legilor regionale de protecție a datelor, și să implementeze măsuri pentru captarea și protejarea datelor cu caracter personal pe internet. În anumite cazuri, aceste sarcini și măsuri sunt reglementate de articolele corespunzătoare ale regulamentului, pentru a păstra drepturile persoanelor vizate – cum ar fi cetățenii, utilizatorii și publicul – și pentru a asigura transparența.
De la aplicare până la încheierea raportului de muncă, sunt colectate și prelucrate la locul de muncă numeroase date ale angajaților. În acest proces, angajatorii trebuie să respecte în mod special prevederile Regulamentului general privind protecția datelor (GDPR) și ale Legii federale privind protecția datelor (BDSG), conform MTR Legal Rechtsanwälte, care, printre altele, oferă consultanță în dreptul protecției datelor.
GDPR trebuie respectat la transferul intern de date în cadrul grupului
Cerințele GDPR trebuie, de asemenea, respectate în cazul transferului intern de date în cadrul unui grup, cum arată decizia Curții Federale de Muncă din 8 mai 2025. Curtea a clarificat că un angajat poate avea dreptul la despăgubiri pentru încălcarea GDPR.
În cazul analizat, angajatorul a transferat date cu caracter personal ale unui angajat către o societate-mamă a grupului. Motivul a fost testarea unui nou software bazat pe cloud pentru administrarea personalului. Cu acest software, urma să fie introdus un nou sistem de management al personalului la nivel de grup.
Testarea preliminară a noului sistem de management al personalului a fost reglementată anterior printr-un acord colectiv. Conform acordului, numele, începutul raportului de muncă, compania, locul de muncă, precum și numărul de telefon și adresa de e-mail de serviciu puteau fi transmise. În plus, angajatorul a transmis societății din grup și informații despre salariu, data nașterii, starea civilă, numărul de asigurare socială, codul fiscal și adresa privată a angajatului.
Aplicarea regulamentului GDPR și a articolelor corespunzătoare nu este doar pentru companii, ci și pentru autorități, pentru a proteja drepturile utilizatorilor, persoanelor vizate și cetățenilor. Măsurile și acțiunile de captare și protejare a datelor cu caracter personal pe internet, precum și respectarea legilor regionale de protecție a datelor sunt sarcini importante în toate cazurile și fac parte din obiectivele centrale pentru asigurarea transparenței față de public.
Date transmise fără o bază legală suficientă
Reclamantul s-a opus acestui fapt. El a argumentat că datele sale au fost prelucrate fără o bază legală suficientă, deoarece utilizarea datelor reale în faza de testare nu era necesară și astfel contravenea principiilor minimizării și scopului, conform Art. 5 GDPR. În plus, prelucrarea nu a fost acoperită de acordul colectiv existent. El a invocat Art. 82 alin. 1 GDPR o cerere de despăgubire morală din cauza încălcării GDPR.
După ce instanțele inferioare au respins acțiunea lui, aceasta a ajuns în final la Curtea Federală de Muncă. BAG a sesizat inițial Curtea de Justiție a Uniunii Europene. CJUE a clarificat, prin decizia din 19 decembrie 2024, că reglementările privind prelucrarea datelor într-un acord colectiv trebuie să respecte cerințele GDPR. Această jurisprudență a fost adoptată de BAG, care a decis că reclamantul are drept la despăgubiri.
Aplicarea articolelor relevante ale regulamentului de protecție a datelor și a legilor regionale de protecție a datelor este esențială pentru sarcinile și îndeplinirea funcției autorităților și pentru protecția cetățenilor și utilizatorilor afectați în toate cazurile. Măsurile de captare și protejare a datelor cu caracter personal pe internet trebuie implementate și în raport cu transparența față de public.
Dreptul la despăgubiri morale
Angajatorul a transmis mai multe date decât erau permise conform acordului colectiv către societatea-mamă a grupului. Acest lucru nu era necesar și constituia o încălcare a GDPR, a subliniat BAG. Prin transferul datelor personale către societatea-mamă, reclamantul și-a pierdut controlul asupra datelor sale și a suferit astfel un prejudiciu moral, a clarificat în continuare BAG.
Decizia arată că și transferul de date în cadrul unui grup ar trebui verificat în permanentă din perspectiva dreptului la protecția datelor. Cerințele regulamentului GDPR trebuie respectate pe deplin. Acestea includ în special principiile minimizării datelor, scopului și transparenței.
Implementarea de măsuri adecvate și aplicarea consecventă a regulamentului de protecție a datelor și a articolelor relevante sunt esențiale pentru protecția persoanelor vizate, cum ar fi cetățenii și utilizatorii, și pentru îndeplinirea funcțiilor și sarcinilor autorităților în toate cazurile. Acest lucru include captarea datelor pe internet, respectarea legilor regionale de protecție a datelor și asigurarea transparenței față de public.
Cerințe pentru prelucrarea datelor cu caracter personal în cadrul raportului de muncă
În principiu, prelucrarea datelor cu caracter personal în cadrul raportului de muncă este permisă numai dacă există o bază legală corespunzătoare. Acest lucru este valabil, de exemplu, atunci când prelucrarea datelor este necesară pentru a îndeplini contractul de muncă. În plus, prelucrarea datelor este permisă dacă angajatul și-a exprimat consimțământul. Este important ca consimțământul să fie dat în mod voluntar, să fie specific și să poată fi retras. Prelucrarea datelor poate fi, de asemenea, permisă dacă angajatorul poate demonstra un interes legitim pentru menținerea securității întreprinderii și nu există interese sau drepturi fundamentale ale angajatului care să prevaleze.
Decizia BAG subliniază importanța unei gestionări responsabile a datelor angajaților și necesitatea de a integra aspectele legate de protecția datelor în procesele operaționale într-un stadiu incipient și într-o manieră cuprinzătoare.
MTR Legal Rechtsanwälte oferă consultanță în dreptul muncii și dreptul protecției datelor.
Nu ezitați să ne contactați! Aplicarea regulamentului de protecție a datelor și a articolelor relevante, precum și implementarea măsurilor adecvate de captare a datelor pe internet și respectarea legilor regionale de protecție a datelor sunt de importanță crucială pentru protecția persoanelor vizate, cetățenilor și utilizatorilor, precum și pentru îndeplinirea funcțiilor și sarcinilor autorităților în toate cazurile și față de public.
