Ochrona danych w koncernie: Federalny Sąd Pracy wzmacnia prawa pracowników. Omówienie wyroku z dnia 08.05.2025 r., sygn. akt 8 AZR 209/21

Wewnętrzne przekazywanie danych pracowników w ramach koncernu znajduje się coraz częściej w centrum zainteresowania sądów pracy oraz organów nadzorczych ds. ochrony danych. W wyroku z dnia 8 maja 2025 r. (sygn. akt 8 AZR 209/21) Federalny Sąd Pracy (BAG) doprecyzował wymagania dotyczące zgodnego z prawem przetwarzania danych osobowych w środowisku koncernowym oraz potwierdził odpowiedzialność pracodawcy za naruszenia RODO.

Stan faktyczny: testowanie systemu z użyciem rzeczywistych danych pracowników

W 2017 roku jedno z przedsiębiorstw planowało wdrożenie koncernowego systemu do zarządzania personelem „Workday”. W tym celu zawarło z radą zakładową porozumienie zakładowe, które dopuszczało przekazywanie określonych danych osobowych pracowników do tego systemu. Porozumienie to ograniczało się wyraźnie do wybranych danych podstawowych, takich jak imię i nazwisko, data zatrudnienia oraz służbowe dane kontaktowe.

W ramach testów pracodawca przekazał jednak także dalsze rzeczywiste dane osobowe pracowników, w tym wrażliwe informacje takie jak wynagrodzenie, stan cywilny, adres zamieszkania, numer identyfikacji podatkowej oraz numer ubezpieczenia społecznego. Przekazanie tych danych wykraczało poza zakres ustalony w porozumieniu zakładowym i nie było nim objęte.

Orzeczenie Federalnego Sądu Pracy: naruszenie RODO

Federalny Sąd Pracy potwierdził naruszenie art. 6 ust. 1 zdanie 1 lit. f RODO. Przekazanie danych nie było niezbędne do realizacji prawnie uzasadnionych interesów i naruszało przepisy rozporządzenia o ochronie danych. W szczególności nie istniała właściwa równowaga pomiędzy interesami przedsiębiorstwa a podstawowymi prawami powoda. Osoba, której dane dotyczyły, nie miała wpływu na sposób ich przetwarzania i doznała szkody niematerialnej w rozumieniu art. 82 ust. 1 RODO – konkretnie: utraty kontroli nad swoimi danymi osobowymi

Porozumienia zakładowe jako podstawa prawna? Tylko zgodnie z RODO!

Kluczowe znaczenie ma w tym kontekście również wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 19.12.2024 r. (sygn. C-65/23). TSUE wyjaśnił:

• Porozumienia zakładowe mogą stanowić podstawę prawną przetwarzania danych tylko wtedy, gdy w pełni spełniają wymagania RODO.
• W szczególności należy rygorystycznie przestrzegać zasady ograniczenia celu i minimalizacji okresu przechowywania.
• Strony układu zakładowego nie mogą wykraczać poza ramy przewidziane w przepisach o ochronie danych.

To oznacza: nawet pozornie uzgodnione rozwiązania zakładowe nie mogą legalizować bezprawnego przetwarzania danych.

Wskazówki praktyczne dla przedsiębiorstw

Przekazywanie danych wewnątrz koncernu wymaga dokładnej analizy:

• Porozumienia zakładowe muszą być zgodne z RODO: Nie mogą one legalizować przetwarzania danych naruszającego przepisy.
• Weryfikacja podstawy prawnej: Prawnie uzasadniony interes zgodnie z art. 6 ust. 1 lit. f RODO występuje tylko wtedy, gdy przetwarzanie danych jest niezbędne, a wynik testu równowagi interesów przemawia jednoznacznie za przedsiębiorstwem.
• Zasada minimalizacji danych: Przekazuj tylko te dane, które są niezbędne do realizacji konkretnego celu.
• Unikanie rzeczywistych danych w testach: W miarę możliwości stosuj dane zanonimizowane podczas testowania nowych systemów IT.

Wniosek

Wyrok Federalnego Sądu Pracy pokazuje: nawet w ramach jednego koncernu przetwarzanie danych osobowych musi być zgodne z RODO. Przedsiębiorstwa, które traktują porozumienia zakładowe jako wystarczającą podstawę prawną, muszą zmienić swoje podejście i poddać je ocenie pod kątem zgodności z przepisami o ochronie danych.