Giới thiệu về bảo vệ dữ liệu
Việc bảo vệ dữ liệu cá nhân ngày càng trở nên quan trọng trong thế giới số hóa ngày nay. Với Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu và Luật bảo vệ dữ liệu liên bang (BDSG), có những quy tắc rõ ràng và bắt buộc về cách các doanh nghiệp và tập đoàn phải xử lý dữ liệu của khách hàng, nhân viên và đối tác kinh doanh. Đặc biệt trong một tập đoàn gồm nhiều công ty, việc đảm bảo quy trình xử lý dữ liệu trong toàn tập đoàn phải tuân thủ pháp luật là rất quan trọng. GDPR và BDSG quy định cách dữ liệu cá nhân được thu thập, lưu trữ và xử lý nhằm bảo vệ quyền riêng tư và quyền lợi của những người bị ảnh hưởng. Doanh nghiệp và tập đoàn do đó có trách nhiệm tuân thủ các quy định này một cách nghiêm ngặt để duy trì niềm tin của những người bị ảnh hưởng và tránh các rủi ro pháp lý.
Tập đoàn và bảo vệ dữ liệu
Một tập đoàn là sự kết hợp của nhiều công ty dưới sự điều hành đồng nhất. Ban lãnh đạo tập đoàn có trách nhiệm đảm bảo rằng toàn bộ tập đoàn tuân thủ các quy định của Quy định chung về bảo vệ dữ liệu (GDPR) và Luật bảo vệ dữ liệu liên bang (BDSG). Điều này áp dụng cho tất cả các cấp và công ty trong tập đoàn – từ công ty mẹ cho đến các công ty con. Việc thu thập, lưu trữ và xử lý dữ liệu cá nhân trong toàn bộ tập đoàn phải tuân thủ theo các quy định pháp luật. Ban lãnh đạo tập đoàn phải đảm bảo rằng tất cả các công ty trong tập đoàn đều biết và thực hiện các yêu cầu về bảo vệ dữ liệu để đảm bảo an toàn và bảo vệ dữ liệu. Chỉ bằng cách này, mới có thể đạt được một mức độ bảo vệ dữ liệu đồng bộ và đúng pháp luật trong toàn tập đoàn.
Người chịu trách nhiệm và Nhân viên bảo vệ dữ liệu
Trong một tập đoàn, người chịu trách nhiệm là cá nhân hoặc cơ quan quyết định về mục đích và phương tiện của việc xử lý dữ liệu cá nhân. Trong khi đó, nhân viên bảo vệ dữ liệu chịu trách nhiệm giám sát việc tuân thủ các quy định bảo vệ dữ liệu trong tất cả các công ty của tập đoàn. Ông tư vấn cho ban lãnh đạo tập đoàn và từng công ty về mọi vấn đề liên quan đến bảo vệ dữ liệu, đào tạo nhân viên và là người liên hệ với những người bị ảnh hưởng khi liên quan đến quyền lợi của họ trong việc xử lý dữ liệu cá nhân. Sự hợp tác chặt chẽ giữa người chịu trách nhiệm và nhân viên bảo vệ dữ liệu là cần thiết để đảm bảo tuân thủ các quy định bảo vệ dữ liệu trong toàn bộ tập đoàn và bảo vệ quyền lợi của những người bị ảnh hưởng một cách hiệu quả.
Tòa án lao động Liên bang về việc chuyển giao dữ liệu cá nhân trong tập đoàn – Số hiệu 8 AZR 209/21
Bảo vệ dữ liệu cũng đóng vai trò trung tâm trong luật lao động. Điều này không chỉ áp dụng đối với việc xử lý dữ liệu cá nhân của nhân viên đối với bên thứ ba, mà còn trong nội bộ tập đoàn. Tòa án lao động Liên bang đã chỉ rõ với phán quyết vào ngày 8 tháng 5 năm 2025 rằng việc chuyển giao dữ liệu trong nội bộ tập đoàn cũng phải tuân thủ các quy định của Quy định chung về bảo vệ dữ liệu (GDPR) (Số hiệu 8 AZR 209/21).
Các cơ quan có một vai trò quan trọng trong việc áp dụng quy định bảo vệ dữ liệu (GDPR): Họ phải đảm bảo tuân thủ các luật bảo vệ dữ liệu, bao gồm các luật bảo vệ dữ liệu của tiểu bang, và thực hiện các biện pháp thu thập và bảo vệ dữ liệu cá nhân trên Internet. Trong một số trường hợp, các nhiệm vụ và biện pháp này được quy định thông qua các bài viết tương ứng của quy định nhằm bảo vệ quyền của những người bị ảnh hưởng – như công dân, người dùng và công chúng – và bảo đảm tính minh bạch.
Từ việc nộp hồ sơ ứng tuyển đến khi kết thúc quan hệ lao động, rất nhiều dữ liệu của nhân viên được thu thập và xử lý tại nơi làm việc. Các nhà tuyển dụng phải đặc biệt chú ý tuân thủ các quy định của Quy định chung về bảo vệ dữ liệu (GDPR) và Luật bảo vệ dữ liệu liên bang (BDSG), theo lời khuyên của MTR Legal Rechtsanwälte, bao gồm tham vấn về luật bảo vệ dữ liệu.
GDPR phải được tuân thủ khi chuyển giao dữ liệu trong nội bộ tập đoàn
Các quy định của GDPR cũng phải được tuân thủ khi chuyển giao dữ liệu trong nội bộ tập đoàn, như phán quyết của Tòa án lao động Liên bang vào ngày 8 tháng 5 năm 2025 đã chỉ rõ. Tòa án lao động Liên bang đã làm rõ rằng người lao động có thể có quyền đòi bồi thường thiệt hại do vi phạm GDPR.
Trong trường hợp được đề cập, người chủ lao động đã chuyển dữ liệu cá nhân của một nhân viên trong tập đoàn đến một công ty mẹ tập đoàn. Nguyên nhân là do một phần mềm quản lý nhân sự dựa trên đám mây mới cần được thử nghiệm. Phần mềm này dự định đưa vào một hệ thống quản lý nhân sự mới trong toàn tập đoàn.
Việc thử nghiệm tạm thời hệ thống quản lý nhân sự mới đã được quy định trong một thỏa thuận được thương lượng trước đó. Theo thỏa thuận, tên, thời gian bắt đầu hợp đồng lao động, công ty, địa điểm làm việc cũng như số điện thoại và địa chỉ email kinh doanh được phép chuyển giao. Tuy nhiên, nhà tuyển dụng đã chuyển thêm thông tin về lương, ngày sinh, tình trạng hôn nhân, số an sinh xã hội, mã số thuế và địa chỉ riêng của nhân viên đến công ty tập đoàn.
Việc áp dụng quy định bảo vệ dữ liệu và các bài viết tương ứng không chỉ áp dụng cho các doanh nghiệp mà còn cho các cơ quan để bảo vệ quyền lợi của người dùng, người bị ảnh hưởng và công dân. Các nhiệm vụ và biện pháp thu thập dữ liệu và bảo vệ dữ liệu cá nhân trên Internet cũng như tuân thủ các luật bảo vệ dữ liệu của tiểu bang là nhiệm vụ quan trọng và thuộc về các nhiệm vụ trung tâm để bảo đảm tính minh bạch đối với công chúng.
Dữ liệu được chuyển giao mà không có đủ căn cứ pháp lý
Người khiếu nại đã phản đối. Ông lập luận rằng dữ liệu của ông đã được xử lý mà không có đủ căn cứ pháp lý, vì việc sử dụng dữ liệu thật trong giai đoạn thử nghiệm không cần thiết và do đó vi phạm các nguyên tắc tối thiểu hóa dữ liệu và ràng buộc mục đích theo Điều 5 GDPR. Ngoài ra, việc xử lý cũng không được bao phủ bởi thỏa thuận hành chính hiện có. Ông yêu cầu bồi thường thiệt hại phi vật chất theo Điều 82, đoạn 1 GDPR do vi phạm GDPR.
Sau khi các tòa án cấp dưới bác bỏ đơn khiếu nại của ông, cuối cùng ông đã đưa vụ việc lên Tòa án lao động Liên bang. Tòa án lao động Liên bang đã yêu cầu Tòa án Công lý Liên minh Châu Âu trước tiên. Tòa án Công lý đã tuyên bố vào ngày 19 tháng 12 năm 2024 rằng các quy định về xử lý dữ liệu trong một thỏa thuận hành chính phải tuân thủ quy định của GDPR. Tòa án lao động Liên bang đồng ý với quan điểm pháp lý này và quyết định rằng người khiếu nại có quyền được bồi thường thiệt hại.
Việc áp dụng các bài viết liên quan của quy định bảo vệ dữ liệu cũng như các luật bảo vệ dữ liệu của tiểu bang là yếu tố trọng tâm đối với các nhiệm vụ và việc thực hiện nhiệm vụ của các cơ quan và bảo vệ quyền lợi của các công dân và người dùng trong mọi trường hợp là cần thiết. Các biện pháp thu thập và bảo vệ dữ liệu cá nhân trên Internet phải được thực hiện, đặc biệt là về tính minh bạch đối với công chúng.
Quyền đòi bồi thường thiệt hại phi vật chất
Người chủ lao động đã chuyển dữ liệu nhiều hơn so với những gì được phép trong thỏa thuận hành chính đến công ty mẹ tập đoàn. Điều này là không cần thiết và vi phạm GDPR, tòa án lao động liên bang nêu rõ. Việc chuyển giao dữ liệu cá nhân đến công ty mẹ tập đoàn đã khiến người khiếu nại mất kiểm soát dữ liệu của mình và do đó chịu tổn thất thiệt hại phi vật chất, tòa án lao động liên bang khẳng định rõ.
Phán quyết cho thấy rằng ngay cả việc chuyển giao dữ liệu trong nội bộ tập đoàn cũng phải được kiểm tra theo luật bảo vệ dữ liệu. Các yêu cầu bảo vệ dữ liệu của GDPR phải được tuân thủ hoàn toàn. Điều này đặc biệt bao gồm các nguyên tắc của tối thiểu hóa dữ liệu, ràng buộc mục đích và tính minh bạch.
Việc thực hiện các biện pháp thích hợp và áp dụng nhất quán quy định bảo vệ dữ liệu cũng như các bài viết liên quan là rất cần thiết cho việc bảo vệ những người bị ảnh hưởng, như công dân và người dùng, và việc thực hiện nhiệm vụ và nhiệm vụ của các cơ quan trong mọi trường hợp. Điều này bao gồm việc thu thập dữ liệu trên Internet, tuân thủ các luật bảo vệ dữ liệu của tiểu bang cũng như tính minh bạch đối với công chúng.
Yêu cầu đối với việc xử lý dữ liệu cá nhân trong quan hệ lao động
Thông thường, việc xử lý dữ liệu cá nhân trong quan hệ lao động chỉ được phép khi có cơ sở pháp lý thích hợp. Điều này thường áp dụng khi việc xử lý dữ liệu cần thiết để thực hiện hợp đồng lao động. Ngoài ra, việc xử lý dữ liệu cũng được phép nếu nhân viên đã đưa ra sự đồng ý của mình. Quan trọng là sự đồng ý phải được đưa ra một cách tự nguyện, cụ thể và có thể rút lại. Việc xử lý dữ liệu cũng có thể được phép nếu người sử dụng lao động có một lợi ích chính đáng để bảo vệ sự an toàn của doanh nghiệp và không có lợi ích hoặc quyền lợi nào của nhân viên mâu thuẫn với điều đó.
Phán quyết của tòa án lao động liên bang nhấn mạnh tầm quan trọng của việc xử lý một cách có trách nhiệm các dữ liệu nhân viên và nhu cầu tích hợp các khía cạnh bảo vệ dữ liệu sớm và toàn diện vào các quy trình hoạt động.
MTR Legal Rechtsanwälte tư vấn trong lĩnh vực luật lao động và luật bảo vệ dữ liệu.
Vui lòng liên hệ với chúng tôi!
Việc áp dụng quy định bảo vệ dữ liệu và các bài viết liên quan cũng như thực hiện các biện pháp thu thập dữ liệu thích hợp trên Internet và tuân thủ các luật bảo vệ dữ liệu của tiểu bang là vô cùng quan trọng trong việc bảo vệ quyền lợi của những người bị ảnh hưởng, công dân và người dùng cũng như việc thực hiện nhiệm vụ và nhiệm vụ của các cơ quan trong mọi trường hợp và đối với công chúng.
