Увод у заштиту података
Заштита личних података у данашњем, све дигитализованијем свету је од пресудне важности. Са Општом уредбом ЕУ о заштити података (GDPR) и Савезним законом о заштити података (BDSG) постоје јасна и обавезујућа правила како предузећа и концерни морају поступати са подацима клијената, запослених и пословних партнера. Нарочито у концерну који се састоји од више предузећа, од суштинског је значаја да се процеси обраде података унутар концерна креирају у складу са правом. GDPR и BDSG регулишу како лични подаци могу бити прикупљени, сачувани и обрађени, како би се заштитила приватност и права особа на које се подаци односе. Предузећа и концерни стога су у обавези да доследно поштују ове прописе да би очувала поверење особа на које се подаци односе и избегла правне ризике.
Концерн и заштита података
Концерн је спој више предузећа која су под јединственим руководством. Руководство концерна носи одговорност да се у оквиру целог концерна поштују прописи Опште уредбе о заштити података (GDPR) и Савезног закона о заштити података (BDSG). То се односи на све нивое и предузећа у концерну – од матичног друштва до зависних предузећа. Прикупљање, чување и обрада личних података морају се обављати у складу са законским одредбама на нивоу целог концерна. Руководство концерна мора осигурати да сва предузећа у концерну познају и примењују захтеве за заштиту података, како би гарантовали сигурност и заштиту података. Само тако се може постићи јединствен и правно сигуран ниво заштите података у целом концерну.
Одговорно лице и службеник за заштиту података
Унутар концерна, одговорно лице је особа или орган који одређује сврху и средства обраде личних података. Службеник за заштиту података, с друге стране, задужен је за надзор над поштовањем прописа о заштити података у свим предузећима концерна. Он саветује руководство концерна и појединачна предузећа у свим питањима везаним за заштиту података, обучава запослене и представља контакт за особе на које се подаци односе када је у питању њихова права у вези са обрадом њихових личних података. Блиска сарадња између одговорног лица и службеника за заштиту података је неопходна да би се осигурало поштовање прописа о заштити података у целом концерну и ефикасно заштитила права особа на које се подаци односе.
Одлука BAG о преносу личних података унутар концерна – Az. 8 AZR 209/21
Заштита података игра централну улогу и у радном праву. То се не односи само на поступање с личним подацима запослених у односу на трећа лица, већ и унутар концерна. Савезни радни суд је пресудом од 8. маја 2025. године јасно ставио до знања да се и код преноса података унутар пословне групе морају поштовати одредбе Опште уредбе о заштити података (GDPR) (Az. 8 AZR 209/21).
Органи имају важну улогу у примени Опште уредбе о заштити података (GDPR): морају осигурати поштовање закона о заштити података, укључујући покрајинске законе о заштити података, и спроводити мере за прикупљање података и заштиту личних података на интернету. У одређеним случајевима, ови задаци и мере су регулисани одговарајућим чланцима уредбе како би се заштитила права погођених особа – као што су грађани, корисници и јавност – и осигурала транспарентност.
Од пријаве до престанка радног односа, на радном месту се прикупљају и обрађују бројни подаци запослених. Послодавци морају при том посебно поштовати одредбе Опште уредбе о заштити података (GDPR) као и Савезног закона о заштити података (BDSG), саветује адвокатска канцеларија MTR Legal Rechtsanwälte, која између осталог саветује о заштити података.
GDPR мора бити узет у обзир при интерном преносу података унутар концерна
Одредбе GDPR морају се узети у обзир и при интерном преносу података унутар концерна, како показује пресуда Савезног радног суда од 8. маја 2025. године. BAG је јасно навео да запослени може имати право на накнаду штете због повреде GDPR.
У наведеном случају, послодавац је пренео личне податке запосленог унутар концерна до главног концернског друштва. Разлог је био тестирање новог софтвера заснованог на облаку за управљање кадровима. Софтвер је требало да омогући увођење новог система управљања кадровима на нивоу целог концерна.
Привремени пробни рад новог система управљања кадровима је претходно био регулисан путем радног споразума. По споразуму, дозвољено је преносити име, почетак радног односа, фирму, радно место, као и пословни телефонски број и адресу електронске поште. Међутим, послодавац је даље пренео и информације о плати, датуму рођења, брачном стању, број социјалног осигурања, порески ИД и приватну адресу запосленог на конзорцијумско друштво.
Примена уредбе о заштити података и одговарајућих чланака се не односи само на предузећа, већ и на органе, како би се права корисника, погођених лица и грађана заштитила. Мере и акције за прикупљање података и заштиту личних података на интернету, као и поштовање државних закона о заштити података су у свим случајевима важан задатак и спадају у централне задатке како би се осигурала транспарентност пред јавношћу.
Подаци пренети без довољне правне основе
Тужилац се томе успротивио. Он је тврдио да су његови подаци обрађени без довољне правне основе, пошто употреба реалних података у фази тестирања није била потребна и стога је прекршила принципе минимизације података и ограничења сврхе према члану 5 GDPR. Уз то, обрада није била покривена постојећим радним споразумом. Он је према члану 82 став 1 GDPR захтевао надокнаду нематеријалне штете због кршења GDPR.
Након што су предходни судови одбили његову тужбу, случај је на крају стигао до Савезног радног суда. BAG је прво упутио питање Суду правде Европске уније. Суд је у пресуди од 19. децембра 2024. године јасно ставио до знања да одредбе записане уговором о обради података морају одговарати захтевима GDPR. Овом правном ставу се приклонио BAG и одлучио да тужилац има право на надокнаду штете.
Примена релевантних чланака уредбе о заштити података као и државних закона о заштити података је од пресудног значаја за задатке и испуњавање задатака органа ради заштите погођених грађана и корисника у свим случајевима. Мере за прикупљање података и заштиту личних података на интернету морају бити спроведене узимајући у обзир транспарентност према јавности.
Право на надокнаду нематеријалне штете
Послодавац је пренео више података него што је било дозвољено по радном споразуму на главно друштво концерна. Ово није било потребно и представља кршење GDPR, јасно је навео BAG. Преносом личних података на главно друштво концерна тужилац је изгубио контролу над својим подацима и тиме претрпео нематеријалну штету, додатно је објаснио BAG.
Пресуда показује да се и пренос података унутар концерна увек треба испитивати у односу на право заштите података. Захтеви прописа GDPR морају се при том у потпуности испоштовати. Ово посебно укључује принципе минимизације података, ограничења сврхе и транспарентности.
Спровођење одговарајућих мера и доследна примена уредбе о заштити података и релевантних чланака је неопходна за заштиту погођених лица, као што су грађани и корисници, и извршавање задатака и одговорности органа у свим случајевима. Ово укључује прикупљање података на интернету, поштовање државних закона о заштити података и транспарентност према јавности.
Захтев за обраду личних података у радном односу
Обрада личних података у радном односу је у начелу дозвољена само ако постоји одговарајућа правна основа. Ово важи нарочито ако је обрада података неопходна за испуњење радног уговора. Поред тога, обрада података је дозвољена ако је запослени дао своју сагласност. Важно је да сагласност буде дата добровољно, специфично и могуће је опозвати је. Обрада података може бити дозвољена и ако послодавац може показати оправдани интерес за заштиту безбедности предузећа и ако не постоје супротни интереси или основна права запосленог.
Пресуда BAG истиче значај одговорног руковођења са подацима запослених и потребу раног и свеобухватног инкорпорирања аспеката заштите података у радне процесе.
MTR Legal Rechtsanwälte саветује у радном праву и праву заштите података.
Не оклевајте да ступите у контакт са нама!
Примена уредбе о заштити података и релевантних чланака, као и спровођење адекватних мера за прикупљање података на интернету и поштовање државних закона о заштити података су од централног значаја за заштиту погођених лица, грађана и корисника, као и за испуњавање задатка и одговорности органа у свим случајевима и пред јавношћу.
