主題:歐盟《人工智慧法》的實施落地專題會暨《合規手冊》新書釋出會
時間:2024年12月28日(週六) 14:00—17:00
來源:資料信任與治理
僅供學習,如有侵權,請聯絡刪除!
2024年12月19日,歐盟法院就一員工個人資料跨境轉移案件做出裁決,該案件圍繞歐盟《通用資料保護條例》(GDPR)關於員工個人資料處理的適用問題展開,尤其是第88條的“更具體規則”與第5、6及9條核心保護條款之間的關係。案件由德國聯邦勞動法院向歐盟法院提出預審請求,以明確集體協議和國家法律是否可以依賴第88條對資料處理規則進行調整,且調整後的規則是否必須與GDPR的核心條款保持一致。
案件背景
案件的背景發生在K GmbH公司引入新的人事資訊管理系統Workday時。作為一家德國公司,K GmbH隸屬於D集團,該集團決定採用Workday系統替代原有的SAP系統,以實現員工資料的集中化管理和全球範圍的無縫共享。
作為系統遷移的一部分,K GmbH需要將員工的個人資料從SAP轉移到Workday,並因此與公司工作委員會(工會)簽署了一系列工作協議,以規定測試階段的資料處理範圍和使用目的。
其中,2017年7月3日簽署的“確認許可協議”明確限制了測試階段的資料使用,不允許利用系統進行員工評估等超出測試範圍的活動。協議附件還列舉了可以處理的基本資料型別,包括員工編號、姓名、工作聯絡方式、工作地點、入職日期等。
然而,在實際操作中,K GmbH處理了超出協議範圍的多種敏感資料,包括私人聯絡方式、薪資資訊、國籍、婚姻狀況、稅務識別號等。這些資料被傳輸至D集團母公司位於美國的伺服器中,並由集團總部集中管理。
申請人MK作為K GmbH的員工以及公司工作委員會主席,對此處理提出了強烈質疑,認為被申請人不僅違反了工作協議,還違反了GDPR關於資料處理合法性和必要性的基本原則。
雙方的主張
申請人MK的核心主張在於,K GmbH超出了協議的約定範圍處理資料,這一行為違反了GDPR第5條中明確規定的“資料最小化原則”。他強調,測試階段完全可以使用虛擬資料代替真實資料,以避免潛在的隱私風險和法律衝突。
此外,他指出,作為資料控制者的K GmbH
未能證明處理這些額外資料的必要性
。根據GDPR第5條第2款的資料“問責原則”,資料控制者應承擔證明合規的責任,而不應將這一責任轉嫁給資料主體。
同時,MK認為,由於未經授權的資料處理導致其隱私權受到侵害,且帶來了精神困擾,因此他有權獲得非物質性損害的賠償。
對此,K GmbH辯稱,其資料處理活動是合法的,且完全符合工作協議和GDPR的要求。公司表示,在測試階段使用真實資料是確保系統功能和資料準確性的必要措施,虛擬資料無法滿足此需求。此外,K GmbH認為,MK未能提供充分證據證明其隱私權因資料處理受到實際損害或精神困擾,且無法證明因果關係,因此賠償請求缺乏依據。
法院的意見和裁決
歐盟法院在審理此案時,圍繞幾個關鍵法律問題進行了詳細的分析。
首先,法院明確了GDPR第88條的適用範圍。第88條允許成員國透過國家法律或集體協議對特定場景的資料處理制定“更具體規則”,如僱傭關係中的資料處理規則。然而,法院強調,這些規則不能違背GDPR的核心原則,特別是第5條(資料處理原則)、第6條(合法性)及第9條(特殊資料處理)的要求。換言之,即使是在第88條框架下,所有資料處理活動仍需滿足資料最小化、合法性和必要性等基本標準。
關於集體協議中籤署方的裁量權,法院指出,儘管僱主與工會作為簽署方對具體業務需求具有深入瞭解,裁量權也必須受GDPR的嚴格限制。法院強調,集體協議中的經濟性或便利性考量不得作為降低GDPR資料保護標準的理由。司法審查是保障GDPR統一適用的重要手段。國家法院在審查集體協議時,不僅可以評估其是否符合第88條,還需確保協議的具體條款是否與GDPR其他核心條款一致。如果發現某些條款違反GDPR,法院有權將其視為無效,並直接適用GDPR的規定。
最後,法院重申了資料處理必要性原則的重要性。資料控制者必須證明所處理的資料是實現明確合法目的所必需的最低限度資料。本案中,K GmbH未能充分證明超出協議範圍處理資料的必要性,且協議中的資料處理條款未能提供足夠的透明度和法律依據,違反了GDPR的要求。
小結
本案對企業和政策制定者提供了多方面的啟示。企業在引入新技術或資料活動時,需確保每一個環節都符合GDPR的合規要求,尤其是在跨境傳輸和敏感資料處理的場景下。同時,企業與工會簽署的集體協議雖然提供了某種靈活性,但必須以GDPR為框架,確保資料處理的透明性和合法性。此外,在技術測試階段,企業應優先使用虛擬資料或匿名資料,以最大限度減少對真實資料的依賴,從而降低隱私和法律風險。
。。。。。。
全部AI及資料中譯本及資訊請加入