Захист даних у межах групи компаній

News  >  Datenschutz  >  Захист даних у межах групи компаній

Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Steuerrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Home-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Вступ до захисту даних

Захист персональних даних є надзвичайно важливим у сучасному, все більш цифровому світі. Існують чіткі та обов’язкові правила, встановлені Загальним регламентом про захист даних (GDPR) ЄС та Федеральним законом про захист даних (BDSG), які визначають, як компанії та концерни повинні працювати з даними клієнтів, працівників і ділових партнерів. Особливо у концерні, що складається з декількох підприємств, важливо, щоб процеси обробки даних у межах концерну здійснювалися відповідно до законодавства. GDPR і BDSG регулюють, як можна збирати, зберігати та обробляти персональні дані, щоб захищати приватність і права осіб, яких ці дані стосуються. Компанії та концерни зобов’язані суворо дотримуватися цих правил, щоб зберегти довіру зацікавлених осіб і уникнути юридичних ризиків.

Концерн і захист даних

Концерн — це об’єднання декількох підприємств, які підпорядковуються єдиному керівництву. Керівництво концерну несе відповідальність за дотримання загального регламенту про захист даних (GDPR) та Федерального закону про захист даних (BDSG) у межах усього концерну. Це стосується всіх рівнів та підприємств концерну — від материнської компанії до дочірніх підприємств. Збирання, зберігання та обробка персональних даних повинні здійснюватися на основі законодавчих вимог на рівні всього концерну. Керівництво концерну зобов’язане забезпечити, щоб усі підприємства в концерні знали та виконували вимоги щодо захисту даних, щоб гарантувати безпеку та захист даних. Тільки так можна досягти єдиного та надійного рівня захисту даних у всьому концерні.

Відповідальний і уповноважений із захисту даних

У межах концерну відповідальною є особа або орган, який вирішує цілі та засоби обробки персональних даних. Натомість, уповноважений із захисту даних стежить за дотриманням правил захисту даних у всіх підприємствах концерну. Він консультує керівництво концерну та окремі підприємства з усіх питань захисту даних, навчає працівників і є контактною особою для зацікавлених осіб, якщо йдеться про їхні права, пов’язані з обробкою їхніх персональних даних. Тісна співпраця між відповідальним та уповноваженим із захисту даних є необхідною для забезпечення дотримання правил захисту даних у всьому концерні та ефективного захисту прав зацікавлених осіб.

BAG щодо передачі персональних даних у межах концерну – Az. 8 AZR 209/21

Захист даних також відіграє центральну роль у трудовому праві. Це стосується не лише обробки персональних даних працівників у відносинах з третіми особами, але й у межах концерну. Федеральний трудовий суд у своєму рішенні від 8 травня 2025 року пояснив, що навіть при передачі даних у межах групи компаній повинні дотримуватися положення Загального регламенту про захист даних (GDPR) (Az. 8 AZR 209/21).

Відповідні державні органи мають важливу роль у застосуванні регламенту про захист даних (GDPR): вони повинні забезпечувати дотримання законів про захист даних, включаючи закони про захист даних на рівні земель, і впроваджувати заходи з збору даних та захисту персональних даних в інтернеті. В окремих випадках ці завдання і заходи регулюються відповідними статтями регламенту, щоб забезпечити права зацікавлених осіб, таких як громадяни, користувачі та суспільство, і забезпечити прозорість.

З моменту подання заяви на роботу до закінчення трудових відносин на робочому місці збирається і обробляється багато даних про працівників. При цьому роботодавці повинні особливо дотримуватися положень Загального регламенту про захист даних (GDPR) та Федерального закону про захист даних (BDSG), наголошує юридична фірма MTR Legal Rechtsanwälte, яка, серед іншого, консультує щодо права захисту даних.

GDPR має дотримуватися при внутрішній передачі даних у концерні

Положення GDPR також повинні дотримуватися при внутрішньоконцернній передачі даних, як це показує рішення Федерального трудового суду від 8 травня 2025 року. BAG пояснив, що працівник має право на відшкодування збитків внаслідок порушення GDPR.

У розглянутому випадку роботодавець передав персональні дані працівника у межах концерну до головної компанії групи. Причиною було тестування нової хмарної програмного забезпечення для управління персоналом. За допомогою цієї програми мало бути впроваджено нову систему управління персоналом у всьому концерні.

Попередній експериментальний запуск нової системи управління персоналом було раніше визначено у колектівній угоді. Згідно з угодою дозволялося передавати ім’я, початок трудових відносин, компанію, місце роботи, а також службовий номер телефону та електронну адресу. Проте роботодавець додатково передав також інформацію про заробітну плату, дату народження, сімейний стан, номер соціального страхування, ідентифікаційний номер платника податків та приватну адресу працівника до компанії групи.

Застосування регламенту про захист даних та відповідних статей стосується не лише компаній, але й державних органів, щоб захистити права користувачів, зацікавлених осіб та громадян. Заходи з збору даних і захисту персональних даних в інтернеті, а також дотримання законів про захист даних на рівні земель є важливим завданням у всіх випадках і належать до центральних завдань з забезпечення прозорості перед громадськістю.

Дані передані без достатньої правової основи

Позивач виступив проти цього. Він стверджував, що його дані були оброблені без достатньої юридичної основи, оскільки використання реальних даних на етапі тестування не було необхідним і, таким чином, порушувало принципи мінімізації даних і цілеорієнтованості відповідно до статті 5 GDPR. Крім того, обробка не покривалася існуючою колективною угодою. Відповідно до статті 82 пункту 1 GDPR, він заявив претензію на нематеріальну компенсацію за порушення GDPR.

Після того, як нижчі інстанції відмовили у його позові, вона нарешті потрапила до Федерального трудового суду. BAG спочатку звернувся до Європейського суду. Європейський суд своєю ухвалою від 19 грудня 2024 року пояснив, що правила обробки даних у колективній угоді повинні відповідати вимогам GDPR. BAG приєднався до цієї судової практики і постановив, що позивач має право на компенсацію.

Застосування відповідних статей регламенту про захист даних та законів про захист даних на рівні земель є центральним для завдань та виконання завдань органів влади та захисту зацікавлених громадян та користувачів у всіх випадках. Заходи з збору даних та захисту персональних даних в інтернеті також повинні бути впроваджені з точки зору прозорості щодо громадськості.

Претензія на нематеріальну компенсацію

Роботодавець передав більше даних, ніж дозволяла колективна угода, до головної компанії групи. Це не було необхідним і становить порушення GDPR, зауважив BAG. Через передачу персональних даних до головної компанії групи позивач втратив контроль над своїми даними і через це зазнав нематеріальної шкоди, пояснив BAG далі.

Це рішення показує, що передача даних у межах концерну завжди повинна перевірятися з погляду права захисту даних. Вимоги GDPR про захист даних повинні повністю дотримуватися. Це передбачає, зокрема, принципи мінімізації даних, цілеорієнтованості та прозорості.

Впровадження відповідних заходів та послідовне застосування регламенту про захист даних, а також відповідних статей є необхідними для захисту зацікавлених осіб, таких як громадяни і користувачі, та для виконання завдань і обов’язків органів влади у всіх випадках. Це включає в себе збір даних в інтернеті, дотримання законів про захист даних на рівні земель та прозорість перед громадськістю.

Вимоги до обробки персональних даних у трудових відносинах

Загалом обробка персональних даних у трудових відносинах дозволена лише за наявності відповідної правової основи. Це стосується, наприклад, якщо обробка даних необхідна для виконання трудового договору. Крім того, обробка даних дозволена, якщо працівник дав свою згоду. При цьому важливо, щоб згода була надана добровільно, була конкретною та може бути відкликана. Обробка даних також може бути допустимою, якщо роботодавець може довести законний інтерес для гарантування безпеки підприємства та відсутність переваги інтересів або основних прав працівника, які суперечили б цьому.

Цей вирок BAG підкреслює важливість відповідального підходу до даних працівників і необхідність раннього і всебічного інтегрування аспектів захисту даних у робочі процеси.

MTR Legal Rechtsanwälte консультує з питань трудового права і право захисту даних.

Звертайтесь до нас! Застосування регламенту про захист даних та відповідних статей, а також впровадження відповідних заходів з збору даних в інтернеті та дотримання законів про захист даних на рівні земель є центральними для захисту зацікавлених осіб, громадян і користувачів, а також для виконання завдань органів влади у всіх випадках і перед громадськістю.

У вас юридичне питання?

Забронюйте консультацію – оберіть зручний час онлайн або зателефонуйте нам.
Гаряча лінія по всій країні
Зараз на зв’язку

Забронювати зворотній дзвінок зараз

або напишіть нам!