Bir çalışan, işveren başka bir toplum aracılığıyla doğrudan veya dolaylı olarak kendisi hakkında çok fazla kişisel bilgi aktarırsa, Genel Veri Koruma Yönetmeliği'nin (GDPR) ihlali için tazminat talep edebilir. Federal İş Mahkemesi bunu Perşembe günü bir kararla açıkladı (AZ.: 8 AZR 209/21). Ancak, davacı zenginleşmez: Maddi olmayan hasar için tazminat ödemesi olarak 3000 avro talep etmişti. Erfurt hakimleri ise iddiasını 200 Euro'ya ve GDPR 2018'den bu yana ilgili taban oranının yüzde beş puanın üzerinde faiz olarak belirledi.
Sanık şirketi, diğer şeylerin yanı sıra, personel yönetimi için yazılımla kendi evlerinde uzun yıllar boyunca çalışanlarının kişisel verilerini muhasebe amacıyla işlemiştir. 2017 yılında grup genelinde bulut tabanlı çözüm çalışma gününe geçmeyi planladı. Şirket daha sonra davacının kişisel verilerini daha önce kullanılan yazılımdan şirkete aktardı. Bir Şirket Anlaşmasında Workday'ın ön işlemi tolere edildi.
Anlaşmaya göre, davalının adını, giriş tarihini, iş yerini, şirketi, şirketi ve iş telefon numarasını ve e -posta adresini ABD'deki bir sunucuya iletmesine izin verilmelidir. Bununla birlikte, şirkete sahip olmadı, ancak davacıdan maaş bilgileri, özel yaşam adresi, doğum tarihi, medeni durum, Sosyal Güvenlik numarası ve vergi kimliği gibi daha fazla veri gönderdi.
Davacı kontrol kaybı yaşadı
Baden-Württemberg Devlet İş Mahkemesi başlangıçta Şubat 2021'de ilgili kişinin zarar iddiasını reddetti (AZ.: 17 SA 37/20). Buna göre, bir şirket anlaşması, yasal izinler temelinde izin verilmeyecekse, veri işlemeyi haklı çıkarabilirdi. Davacının bu karara karşı revizyonu, Federal İş Mahkemesi'nin 8. Senatosu'ndan önce en azından kısmen başarılı oldu. Erfurt hakimlerine göre, davalı şirket üzerindeki gruba farklı veriler aktardığı sürece, bu şirket sözleşmesinden sonra izin verilen kişisel verilerden daha gerekli değildi.
Davacının somut olmayan hasarı, çalışanın grup annesine aşırı bilgi devredilmesinden muzdarip olduğu kontrol kaybında yatmaktadır. Bu, Şirket Anlaşmasının GDPR gereksinimlerini karşılayacak şekilde tasarlanıp tasarlanmadığını kontrol etmek zorunda kalmadı: Duruşmada, davacı, Çalışma Konseyi ile anlaşma tarafından toplanan verilerin aktarılmasının gereksiz olup olmadığını ifade etmenin gerekli olmayacağını beyan etmişti.
AB hukuku hakkında açık sorular olması için 8. Senato bu arada Avrupa Adalet Divanı'nı (ECJ) açmıştı. Bu son zamanlarda, bir şirket sözleşmesinin çalışan verilerinin işlenmesi için açık gereklilikler içermesi gerektiğini açıkça ortaya koydu. GDPR bir kılavuz olarak düşünülmelidir. Ayrıca, şirketin görevlerini yalnızca bir şirket anlaşmasında yüzeysel olarak sağlamak yeterli değildir.
(Nen)
Sanık şirketi, diğer şeylerin yanı sıra, personel yönetimi için yazılımla kendi evlerinde uzun yıllar boyunca çalışanlarının kişisel verilerini muhasebe amacıyla işlemiştir. 2017 yılında grup genelinde bulut tabanlı çözüm çalışma gününe geçmeyi planladı. Şirket daha sonra davacının kişisel verilerini daha önce kullanılan yazılımdan şirkete aktardı. Bir Şirket Anlaşmasında Workday'ın ön işlemi tolere edildi.
Anlaşmaya göre, davalının adını, giriş tarihini, iş yerini, şirketi, şirketi ve iş telefon numarasını ve e -posta adresini ABD'deki bir sunucuya iletmesine izin verilmelidir. Bununla birlikte, şirkete sahip olmadı, ancak davacıdan maaş bilgileri, özel yaşam adresi, doğum tarihi, medeni durum, Sosyal Güvenlik numarası ve vergi kimliği gibi daha fazla veri gönderdi.
Davacı kontrol kaybı yaşadı
Baden-Württemberg Devlet İş Mahkemesi başlangıçta Şubat 2021'de ilgili kişinin zarar iddiasını reddetti (AZ.: 17 SA 37/20). Buna göre, bir şirket anlaşması, yasal izinler temelinde izin verilmeyecekse, veri işlemeyi haklı çıkarabilirdi. Davacının bu karara karşı revizyonu, Federal İş Mahkemesi'nin 8. Senatosu'ndan önce en azından kısmen başarılı oldu. Erfurt hakimlerine göre, davalı şirket üzerindeki gruba farklı veriler aktardığı sürece, bu şirket sözleşmesinden sonra izin verilen kişisel verilerden daha gerekli değildi.
Davacının somut olmayan hasarı, çalışanın grup annesine aşırı bilgi devredilmesinden muzdarip olduğu kontrol kaybında yatmaktadır. Bu, Şirket Anlaşmasının GDPR gereksinimlerini karşılayacak şekilde tasarlanıp tasarlanmadığını kontrol etmek zorunda kalmadı: Duruşmada, davacı, Çalışma Konseyi ile anlaşma tarafından toplanan verilerin aktarılmasının gereksiz olup olmadığını ifade etmenin gerekli olmayacağını beyan etmişti.
AB hukuku hakkında açık sorular olması için 8. Senato bu arada Avrupa Adalet Divanı'nı (ECJ) açmıştı. Bu son zamanlarda, bir şirket sözleşmesinin çalışan verilerinin işlenmesi için açık gereklilikler içermesi gerektiğini açıkça ortaya koydu. GDPR bir kılavuz olarak düşünülmelidir. Ayrıca, şirketin görevlerini yalnızca bir şirket anlaşmasında yüzeysel olarak sağlamak yeterli değildir.
(Nen)