Hyrje në mbrojtjen e të dhënave
Mbrojtja e të dhënave personale është me rëndësi qendrore në botën e sotme gjithnjë e më shumë të dixhitalizuar. Me Rregulloren e Përgjithshme për Mbrojtjen e të Dhënave (GDPR) të BE-së dhe Ligjin Federal për Mbrojtjen e të Dhënave (BDSG) ekzistojnë rregulla të qarta dhe të detyrueshme se si kompanitë dhe korporatat duhet të trajtojnë të dhënat e klientëve, punonjësve dhe partnerëve të biznesit. Veçanërisht në një korporatë që përbëhet nga disa kompani, është vendimtare që proceset e përpunimit të të dhënave brenda korporatës të jenë në përputhje me ligjin. GDPR dhe BDSG rregullojnë se si të dhënat personale mblidhen, ruhen dhe përpunohen për të mbrojtur privatësinë dhe të drejtat e personave të prekur. Prandaj, kompanitë dhe korporatat janë të detyruara të respektojnë këto rregulla për të ruajtur besimin e të prekurve dhe për të shmangur rreziqet ligjore.
Korporata dhe mbrojtja e të dhënave
Një korporatë është një bashkim i disa kompanive që janë nën drejtimin e një lideri të përbashkët. Drejtimi i korporatës mban përgjegjësinë që brenda të gjithë korporatës të respektohen kërkesat e Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (GDPR) dhe Ligjit Federal për Mbrojtjen e të Dhënave (BDSG). Kjo përfshin të gjitha nivelet dhe kompanitë e korporatës – nga kompania mëmë deri te kompanitë bijë. Mbledhja, ruajtja dhe përpunimi i të dhënave personale duhet të ndodhë në të gjithë korporatën sipas kërkesave ligjore. Drejtimi i korporatës duhet të sigurojë që të gjitha kompanitë në korporatë të njohin dhe të zbatojnë kërkesat ligjore për mbrojtjen e të dhënave për të siguruar sigurinë dhe mbrojtjen e të dhënave. Vetëm kështu mund të arrihet një nivel i njëtrajtshëm dhe i sigurt ligji për mbrojtjen e të dhënave në të gjithë korporatën.
Përgjegjësi dhe përgjegjës i mbrojtjes së të dhënave
Brenda një korporate, përgjegjësi është personi ose organi që vendos për qëllimet dhe mjetet e përpunimit të të dhënave personale. Ndërsa përgjegjësi i mbrojtjes së të dhënave është i ngarkuar që të monitorojë respektimin e rregullave të mbrojtjes së të dhënave në të gjitha kompanitë e korporatës. Ai këshillon drejtimin e korporatës dhe kompanive të veçanta në të gjitha çështjet e mbrojtjes së të dhënave, trajnon punonjësit dhe është pikë kontakti për të prekurit kur bëhet fjalë për të drejtat e tyre në lidhje me përpunimin e të dhënave të tyre personale. Një bashkëpunim i ngushtë midis përgjegjësit dhe përgjegjësit të mbrojtjes së të dhënave është i domosdoshëm për të siguruar respektimin e rregullave të mbrojtjes së të dhënave në të gjithë korporatën dhe për të mbrojtur efektivisht të drejtat e të prekurve.
BAG për ndarjen e të dhënave personale brenda një korporate – Ref. 8 AZR 209/21
Mbrojtja e të dhënave luan gjithashtu një rol qendror në të drejtën e punës. Kjo nuk përfshin vetëm trajtimin e të dhënave personale të punonjësve ndaj palëve të treta, por edhe brenda një korporate. Gjykata Federale e Punës me vendimin e saj të datës 8 maj 2025 bëri të qartë se edhe në rastin e ndarjes së të dhënave brenda grupit të kompanive, duhet të respektohen kërkesat e Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (GDPR) (Ref. 8 AZR 209/21).
Autoritetet kanë një detyrë të rëndësishme në zbatimin e rregullores për mbrojtjen e të dhënave (GDPR): Ato duhet të sigurojnë respektimin e ligjeve për mbrojtjen e të dhënave, përfshirë ligjet shtetërore të mbrojtjes së të dhënave, dhe të zbatojnë masa për mbledhjen e të dhënave dhe mbrojtjen e të dhënave personale në internet. Në raste të caktuara, këto detyra dhe masa rregullohen me artikuj përkatës të rregullores për të ruajtur të drejtat e të prekurve – si qytetarët, përdoruesit dhe publiku – dhe për të siguruar transparencën.
Nga aplikimi deri në përfundimin e marrëdhënies së punësimit, në vendin e punës mblidhen dhe përpunohen shumë të dhëna të punonjësve. P punëdhënësit duhet të respektojnë rregullat e Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (GDPR) dhe Ligjin Federal për Mbrojtjen e të Dhënave (BDSG), tha firma MTR Legal
GDPR duhet të respektohet edhe për ndarjen e të dhënave brenda korporatës
Kërkesat e GDPR duhet gjithashtu të respektohen edhe për ndarjen e të dhënave brenda korporatës, siç tregon vendimi i Gjykatës Federale të Punës të datës 8 maj 2025. BAG bëri të qartë se një punonjës mund të ketë të drejtë për dëmshpërblim material për shkak të një shkeljeje të GDPR.
Në rastin themelor, punëdhënësi kishte ndarë të dhënat personale të një punonjësi brenda korporatës me një shoqëri mëmë të korporatës. Arsyeja ishte se një softuer i ri bazuar në cloud për menaxhimin e personelit duhej të testohej. Me këtë softuer pritej që të prezantohej një sistem i ri menaxhimi i personelit në gjithë korporatën.
Testimi i përkohshëm i sistemit të ri të menaxhimit të personelit ishte rregulluar më parë në një marrëveshje të brendshme. Sipas marrëveshjes, lejohej që të transmetoheshin emri, data e fillimit të marrëdhënies së punës, kompania, vendi i punës si dhe numri telefonik dhe adresa e-mail e biznesit. Përveç këtyre, punëdhënësi gjithashtu transmetoi edhe informacione për pagën, datëlindjen, gjendjen familjare, numrin e sigurimeve shoqërore, ID e taksës dhe adresën e shtëpisë së punonjësit te kompania e korporatës.
Zbatimi i rregullores për mbrojtjen e të dhënave dhe artikujve përkatës nuk vlen vetëm për kompanitë, por edhe për autoritetet, për të mbrojtur të drejtat e përdoruesve, të prekurve dhe qytetarëve. Masa dhe strategji për mbledhjen dhe mbrojtjen e të dhënave personale në internet dhe respektimi i ligjeve shtetërore të mbrojtjes së të dhënave janë në të gjitha rastet një detyrë e rëndësishme dhe janë pjesë e detyrave qendrore për të siguruar transparencën ndaj publikut.
Të dhëna pa bazë të mjaftueshme juridike u transmetuan
Kundër kësaj, kundërshtoi paditësi. Ai argumentoi se të dhënat e tij ishin përpunuar pa bazë të mjaftueshme juridike, pasi përdorimi i të dhënave të vërteta në fazën e testimit nuk ishte i nevojshëm dhe kështu shkelte parimet e minimizimit të të dhënave dhe qëllimit sipas Art. 5 GDPR. Gjithashtu, përpunimi nuk mbulohej nga marrëveshja ekzistuese në punë. Ai pretendoi një të drejtë për dëmshpërblim imaterial në përputhje me Art. 82 par. 1 GDPR për shkak të shkeljes së GDPR.
Pasi instancat paraardhëse hodhën poshtë padinë e tij, ajo përfundoi në Gjykatën Federale të Punës. BAG fillimisht iu drejtua Gjykatës Evropiane të Drejtësisë. Gjykata e Drejtësisë vendosi me një vendim të 19 dhjetorit 2024 që rregullat e përpunimit të të dhënave në një marrëveshje duhet të jenë në përputhje me kërkesat e GDPR. Kjo gjykatë vendimmarrese dhe BAG vendosi që paditësi ka të drejtë për dëmshpërblim.
Zbatimi i artikujve të rëndësishëm të rregullores për mbrojtjen e të dhënave si dhe i ligjeve shtetërore për mbrojtjen e të dhënave është për plotësimin e detyrave dhe për mbrojtjen e qytetarëve të prekur dhe përdoruesëve në të gjitha rastet e rëndësisë qendrore. Masat për mbledhjen e të dhënave dhe mbrojtjen e të dhënave personale në internet duhet të zbatohen gjithashtu në lidhje me transparencën ndaj publikut.
E drejta për dëmshpërblim imaterial
Punëdhënësi kishte transmetuar më shumë të dhëna se sa lejohej sipas marrëveshjes në punë te shoqëria mëmë e korporatës. Kjo nuk kishte qenë e nevojshme dhe përbënte një shkelje të GDPR, bëri të qartë BAG. Përmes ndarjes së të dhënave personale me shoqërinë mëmë të korporatës, paditësi kishte humbur kontrollin mbi të dhënat e tij dhe kështu kishte pësuar një dëm imaterial, bëri të qartë më tej BAG.
Vendimi tregon se edhe ndarja e të dhënave brenda një korporate duhet të shqyrtohet gjithmonë në kontekst të ligjit të mbrojtjes së të dhënave. Kërkesat ligjore të GDPR-së duhet të respektohen plotësisht. Kjo përfshin në mënyrë të veçantë parimet e minimizimit të të dhënave, qëllimit dhe transparencës.
Zbatimi i masave të përshtatshme dhe zbatimi konsekuent i rregullores për mbrojtjen e të dhënave si dhe artikujve të rëndësishëm janë të domosdoshme për mbrojtjen e të prekurve, si qytetarë dhe përdorues, dhe për përmbushjen e detyrave të strukturave shtetërore në të gjitha rastet. Kjo përfshin mbledhjen e të dhënave në internet, respektimin e ligjeve shtetërore për mbrojtjen e të dhënave, si edhe transparencën ndaj publikut.
Kërkesat për përpunimin e të dhënave personale në marrëdhënien e punës
Në parim, përpunimi i të dhënave personale në marrëdhënien e punës është i lejuar vetëm kur ka një bazë juridike të përshtatshme për të. Kjo vlen për shembull nëse përpunimi i të dhënave është i nevojshëm për të përmbushur kontratën e punës. Për më tepër, përpunimi i të dhënave lejohet nëse punonjësi ka dhënë pëlqimin e tij. Është shumë e rëndësishme që pëlqimi të jepet vullnetarisht, të jetë specifik dhe i kontrollueshëm. Përpunimi i të dhënave mund të jetë gjithashtu i lejuar, nëse punëdhënësi mund të tregojë një interes të ligjshëm në mbrojtjen e sigurisë së kompanisë dhe asnjë interes ose të drejtë e punonjësit nuk mbizotërojnë kundër kësaj.
Vendimi i BAG nënvizon rëndësinë e një trajtimi të përgjegjshëm me të dhënat e punonjësve dhe nevojën për integrimin e aspekteve të mbrojtjes së të dhënave në proceset e brendshme të kompanisë në një fazë të hershme dhe të plotë.
MTR Legal Rechtsanwälte këshillon në të drejtën e punës dhe e drejta e mbrojtjes së të dhënave.
Ju lutemi të merrni kontakt me ne!
Zbatimi i rregullores për mbrojtjen e të dhënave dhe artikujve përkatës si edhe zbatimi i masave të përshtatshme për mbledhjen e të dhënave në internet dhe respektimi i ligjeve të mbrojtjes së të dhënave shtetërore janë për mbrojtjen e të prekurve, qytetarëve dhe përdoruesve, si dhe për përmbushjen e detyrave dhe detyrave të organeve shtetërore në të gjitha rastet dhe ndaj publikut të një rëndësie qendrore.
