EU-domstolens dom av 19. desember 2024.
Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).
Sentrale artikler behandlet:
– Artikkel 88(1) og (2)
Bakgrunn
Et selskap skulle innføre ny skybasert løsning for regnskap som felles system for personaladministrasjon. Denne løsningen medførte overføring av personopplysninger til en server i USA som tilhørte selskapets morselskap.
Arbeidsgiveren og virksomhetens samarbeidsråd, som også omfattet representanter for de ansatte, inngikk en avtale for å teste ut den nye løsningen. Etter avtalen skulle bare spesifikke kategorier ansattopplysninger, som ansattnummer, navn, kontaktinformasjon og enkelte arbeidsrelaterte opplysninger overføres til USA. Bruk av løsningen til personalforvaltningsformål som medarbeidervurderinger var ikke tillatt i testfasen.
Den midlertidige avtalen ble forlenget til en endelig avtale, men en arbeidstaker mente behandlingen i systemet var ulovlig siden det ble behandlet mer opplysninger enn det som var dekket av avtalen, og krevde erstatning.
Tysk rett har bestemmelser om at personopplysninger om ansatte kan behandles for formål knyttet til et arbeidsforhold når dette er nødvendig for bestemte formål knyttet til arbeidsforholdet, herunder knyttet til kollektiv avtale. Slik lovgivning og tariffavtaler kan gis etter GDPR artikkel 88(1).
Spørsmålet for domstolen var da artikkel 88(2), samt artikkel 5, 6(1) og 9(1) og (2) setter begrensninger for slik lovgivning og kollektive avtaler. I tillegg måtte domstolen vurdere om artikkel 88(1) stiller hindrer nasjonale domstoler i å vurdere nevnte begrensninger.
Artikkel 88(1) – Om nasjonal lov må oppfylle kravene i artikkel 88(2) og artikkel 5, 6(1), 9(1) og (2)
GDPR artikkel 88(1) og (2) gir medlemsstatene mulighet til å innføre mer spesifikke regler for behandling av personopplysninger i arbeidsforhold.
Slike regler må overholde kravene i artikkel 88(2), men de kan ikke tilsidesette andre krav i GDPR, inkludert artikkel 5 (grunnleggende prinsipper for behandling), 6(1) (lovlig behandling) og artikkel og 9(1) og (2) (særlige kategorier personopplysninger).
Formålet med GDPR er å sikre høy beskyttelse av rettighetene til den registrerte, også i arbeidsforhold. Dette innebærer at nasjonale regler ikke kan brukes til å omgå kravene i disse artiklene.
Derfor må nasjonale regler vedtatt i henhold til artikkel 88(1) må oppfylle kravene i artikkel 5, 6(1) og 9(1) og (2) i tillegg til artikkel 88(2), dvs. artikkel 88(1) og (2) krever at nasjonal lovgivning også overholder kravene i artikkel 5, 6(1) og 9(1) og (2).
Artikkel 88(1) – Om artikkel 88(1) hindrer domstolskontroll av nasjonale domstoler
Domstolen vurderte om behandlingen av personopplysninger i en kollektiv avtale er «nødvendig», som påkrevet etter GDPR artikkel 5, 6(1) og 9(1) og (2).
Partene i en kollektiv avtale har et visst skjønn for å vurdere nødvendigheten av behandlingen av personopplysninger, men dette skjønnet er begrenset av kravene i GDPR.
Domstoler har full adgang til å kontrollere om disse kravene er oppfylt, og denne vurderingen kan ikke svekkes av praktiske eller økonomiske hensyn som partene i avtalen har vurdert. Finner domstolen at deler av en kollektiv avtale ikke overholder GDPR, skal den se bort fra disse bestemmelsene.
Nasjonale domstoler kan derfor gjennomføre full domstolskontroll av nødvendigheten av å behandle personopplysninger i henhold til GDPR artikkel 5, 6(1) og 9(1) og (2), selv når behandlingen er regulert i en kollektiv avtale etter GDPR artikkel 88(1).