Nemčija: Pravna podlaga za testiranje IT rešitve
Zvezno delovno sodišče je razsodilo, da je podjetje nezakonito preneslo osebne podatke svojih zaposlenih na matično podjetje, da bi testiralo HR programsko opremo. Sodišče je zaposlenemu prisodilo 200 EUR odškodnine za nepremoženjsko škodo.
Odločitev je bila sprejeta 8.5.2025
Posameznik, na katerega se nanašajo osebni podatki, je zaposleni pri upravljavcu, podjetju s sedežem v Nemčiji, ki pripada mednarodni skupini, katere matična družba ima sedež v ZDA. Leta 2017 je skupina uvedla novo programsko opremo za upravljanje s človeškimi viri v oblaku za testiranje kot nov enoten sistem za upravljanje kadrovskih informacij v celotni skupini. Začasni dogovor za novo programsko opremo je določal, da je njena uporaba za upravljanje kadrov v testnem obdobju prepovedana in da se lahko takrat uporabljajo le določeni osebni podatki, kot so priimek, ime, datum pridružitve skupini, kraj dela in službena telefonska številka. V nasprotju s pogodbo je upravljavec naložil podatke o plači posameznika, naslov prebivališča, datumu rojstva, zakonski stan, številka socialnega zavarovanja, državljanstvo in davčno številko v oblak skupine, kjer so se ti podatki obdelovali do leta 2019.
Posameznik, na katerega se nanašajo osebni podatki, je vložil tožbo pri delovnem sodišču, v kateri je trdil, da obdelava dejanskih osebnih podatkov ni bila potrebna za namene testiranja, temveč so za testno fazo zadostovali izmišljeni podatki (dummy podatki). Vendar je upravljavec obdeloval podatke, ki presegajo dovoljeno v pogodbi. Zahteval je odškodnino za nepremoženjsko škodo v višini 3.000 EUR.
Delovno sodišče (ArbG Ulm) je tožbo zavrnilo, Deželno delovno sodišče (LAG Baden-Württemberg) pa je zavrnilo pritožbo posameznika, na katerega se nanašajo osebni podatki.
Posameznik, na katerega se nanašajo osebni podatki, se je leta 2022 zoper to sodbo pritožil še pri Zveznem delovnem sodišču. Zvezno delovno sodišče je od Sodišča EU zahtevalo predhodno odločanje o pravnih vprašanjih glede razlage člena 88(1) GDPR v zvezi s pogodbami o zaposlitvi v skladu z odstavkom 26. 4. člena Zveznega zakona o varstvu podatkov (BDSG).
Sodišče EU (C-65/23) je navedlo, da morajo biti nacionalni predpisi, sprejeti za obdelavo osebnih podatkov v okviru zaposlitve, skladni z vsemi pogoji in omejitvami GDPR, zlasti s 5. členom, 6(1) ter 9(1) in 9(2) GDPR.
Na obravnavi pred Zveznim delovnim sodiščem je posameznik, na katerega se nanašajo osebni podatki, omejil razloge svoje tožbe na obdelavo podatkov, ki ni zajeta v sporazumu. Izrecno ni uveljavljal kršitve prenosa podatkov v ZDA.
Odločitev Zveznega delovnega sodišča
Sodišče je v tem postopku preučilo le obdelavo osebnih podatkov, ki ni zajeta v sporazumu.
Sodišče je ugotovilo, da je upravljavec osebne podatke posameznika, na katerega se nanašajo osebni podatki, ki niso zajeti v sporazumu, prenesel matični družbi skupine brez pravne podlage, s čimer je kršil 6(1) člen GDPR.
Ugotovilo je, da je posameznik, na katerega se nanašajo osebni podatki, zaradi izgube nadzora nad svojimi podatki upravičen do nepremoženjske škode v višini 200 EUR v skladu s 82(1) členom GDPR.
Velja biti pozoren na poudarek sodišča glede pravne podlage zakoniti interes: Sodišče je namreč izpostavilo, da bi bila obdelava resničnih osebnih podatkov za namene testiranja v okviru programske opreme za upravljanje s človeškimi viri upravičena na podlagi legitimnega interesa iz člena 6(1)(f) GDPR le, če izmišljeni podatki (dummy podatki) ne zadostujejo za dosego namena testiranja. Vendar v tem primeru sodišču ni bilo treba preučiti, ali je sporazum izpolnjeval zahteve iz člena 88 GDPR.
Povezava do odločitve sodišča je tukaj.
Vir: GDPRhub
Naslovna slika: RawPixel
