欧盟法院就一员工个人数据跨境转移案件作出裁决

学术 2024-12-24 19:03 上海

主题：欧盟《人工智能法》的实施落地专题会暨《合规手册》新书发布会

时间：2024年12月28日（周六） 14:00—17:00

线上直播预约（免费）

来源：数据信任与治理

仅供学习，如有侵权，请联系删除！

2024年12月19日，欧盟法院就一员工个人数据跨境转移案件做出裁决，该案件围绕欧盟《通用数据保护条例》（GDPR）关于员工个人数据处理的适用问题展开，尤其是第88条的“更具体规则”与第5、6及9条核心保护条款之间的关系。案件由德国联邦劳动法院向欧盟法院提出预审请求，以明确集体协议和国家法律是否可以依赖第88条对数据处理规则进行调整，且调整后的规则是否必须与GDPR的核心条款保持一致。

案件背景

案件的背景发生在K GmbH公司引入新的人事信息管理系统Workday时。作为一家德国公司，K GmbH隶属于D集团，该集团决定采用Workday系统替代原有的SAP系统，以实现员工数据的集中化管理和全球范围的无缝共享。

作为系统迁移的一部分，K GmbH需要将员工的个人数据从SAP转移到Workday，并因此与公司工作委员会（工会）签署了一系列工作协议，以规定测试阶段的数据处理范围和使用目的。

其中，2017年7月3日签署的“确认许可协议”明确限制了测试阶段的数据使用，不允许利用系统进行员工评估等超出测试范围的活动。协议附件还列举了可以处理的基本数据类型，包括员工编号、姓名、工作联系方式、工作地点、入职日期等。

然而，在实际操作中，K GmbH处理了超出协议范围的多种敏感数据，包括私人联系方式、薪资信息、国籍、婚姻状况、税务识别号等。这些数据被传输至D集团母公司位于美国的服务器中，并由集团总部集中管理。

申请人MK作为K GmbH的员工以及公司工作委员会主席，对此处理提出了强烈质疑，认为被申请人不仅违反了工作协议，还违反了GDPR关于数据处理合法性和必要性的基本原则。

双方的主张

申请人MK的核心主张在于，K GmbH超出了协议的约定范围处理数据，这一行为违反了GDPR第5条中明确规定的“数据最小化原则”。他强调，测试阶段完全可以使用虚拟数据代替真实数据，以避免潜在的隐私风险和法律冲突。

此外，他指出，作为数据控制者的K GmbH未能证明处理这些额外数据的必要性。根据GDPR第5条第2款的数据“问责原则”，数据控制者应承担证明合规的责任，而不应将这一责任转嫁给数据主体。

同时，MK认为，由于未经授权的数据处理导致其隐私权受到侵害，且带来了精神困扰，因此他有权获得非物质性损害的赔偿。

对此，K GmbH辩称，其数据处理活动是合法的，且完全符合工作协议和GDPR的要求。公司表示，在测试阶段使用真实数据是确保系统功能和数据准确性的必要措施，虚拟数据无法满足此需求。此外，K GmbH认为，MK未能提供充分证据证明其隐私权因数据处理受到实际损害或精神困扰，且无法证明因果关系，因此赔偿请求缺乏依据。

法院的意见和裁决

欧盟法院在审理此案时，围绕几个关键法律问题进行了详细的分析。

首先，法院明确了GDPR第88条的适用范围。第88条允许成员国通过国家法律或集体协议对特定场景的数据处理制定“更具体规则”，如雇佣关系中的数据处理规则。然而，法院强调，这些规则不能违背GDPR的核心原则，特别是第5条（数据处理原则）、第6条（合法性）及第9条（特殊数据处理）的要求。换言之，即使是在第88条框架下，所有数据处理活动仍需满足数据最小化、合法性和必要性等基本标准。

关于集体协议中签署方的裁量权，法院指出，尽管雇主与工会作为签署方对具体业务需求具有深入了解，裁量权也必须受GDPR的严格限制。法院强调，集体协议中的经济性或便利性考量不得作为降低GDPR数据保护标准的理由。司法审查是保障GDPR统一适用的重要手段。国家法院在审查集体协议时，不仅可以评估其是否符合第88条，还需确保协议的具体条款是否与GDPR其他核心条款一致。如果发现某些条款违反GDPR，法院有权将其视为无效，并直接适用GDPR的规定。

最后，法院重申了数据处理必要性原则的重要性。数据控制者必须证明所处理的数据是实现明确合法目的所必需的最低限度数据。本案中，K GmbH未能充分证明超出协议范围处理数据的必要性，且协议中的数据处理条款未能提供足够的透明度和法律依据，违反了GDPR的要求。

小结

本案对企业和政策制定者提供了多方面的启示。企业在引入新技术或数据活动时，需确保每一个环节都符合GDPR的合规要求，尤其是在跨境传输和敏感数据处理的场景下。同时，企业与工会签署的集体协议虽然提供了某种灵活性，但必须以GDPR为框架，确保数据处理的透明性和合法性。此外，在技术测试阶段，企业应优先使用虚拟数据或匿名数据，以最大限度减少对真实数据的依赖，从而降低隐私和法律风险。

。。。。。。

全部AI及数据中译本及资讯请加入

数据法盟

何渊老师主理的数据法盟DPOHUB：一个只关注数据隐私和数据安全的数据合规权威平台；一个整合法律、技术及媒体的专业数据法生态体；一个制造干货、相互赋能及塑造职业品牌的数据法共同体。合作官微：heguilvshi

最新文章

段永平与巴菲特谈投资苹果股票

纽约法官维持对特朗普的定罪（判决书中译本全文）

重磅！《国家数据基础设施建设指引》发布

美国商务部发布2024年度出口管制执法报告

重磅！国家网信办《个人信息出境个人信息保护认证办法》公开征求意见

全面制裁中国！美国商务部拟制定无人机供应链安全规则

首批：最高人民法院发布重大涉外案例（附全文）

阿里招聘国际合规专家

8天！5家律所、4名律师被罚

文字实录 | 国家数据局“关于推动数据产业高质量发展和促进企业数据资源开发利用”专题会

最新！国家发展改革委等部门关于促进数据产业高质量发展的指导意见

译文｜特朗普的TikTok 案法庭之友文件

吉利汽车招聘国际法务

“数据脱钩”落地：美国发布禁止敏感个人数据向中国跨境传输的最终规则

报名 | 欧盟《人工智能法》的实施落地专题会暨《AIA合规手册》新书发布会 | DPOHUB智享会第18期：线上线下同步

上海大消息！医学人工智能工作方案来了！

报名 | DPOHUB智享会第18期：欧盟《人工智能法》的实施落地专题会暨《AIA合规手册》新书发布会 | 线上线下同步

国家数据局等5部门《关于促进企业数据资源开发利用的意见》

首个 | 《福建省个人信息出境标准合同备案实施办法》

国家数据局官网亮相！领导团队、职能、内设机构公示

中国首份反禁诉令(AASI)裁定书 | 最高法“华为vs美国网件”案

欧盟法院就一员工个人数据跨境转移案件作出裁决

国家审计署通报“利用政务数据牟利”整改情况

报名 | DPOHUB智享会第18期：欧盟《人工智能法》的实施落地专题会暨《AIA合规手册》新书发布会 | 线上线下同步

突发！全国人大法工委：新公司法第88条“出资责任条款”不溯及既往

中方决定对加拿大机构及人员反制！

首家数据科技央企成立，注册资金高达100亿！国家释放了什么重要信号？

美国为什么要禁用大疆无人机和TP-Link

OpenAI被意大利罚款1500万欧元：数据六宗罪？

突然爆雷！知名平台被立案

恶意阻碍上市索赔2300万｜最高法二审判决书

江苏证监局又对一家律所出具警示函

全国网安标委发布《一键停止收集车外数据指引》

全网首发 | 精解及中译本：欧洲EDPB关于人工智能模型数据保护的意见

耶鲁观察：人工智能违法时，谁该承担责任？

因“脸书”个人数据泄露事件，Meta被处罚19亿元

“尴尬，拿了公共数据授权，但卡在运营”

某数据局公开转让1.08亿数字资产，或已被叫停

收藏版 | 国家数据局五大司局和23省级数据局介绍！

独家 | 政府卖数据，屡屡被叫停

附草案全文 | 国务院审议通过《公共安全视频图像信息系统管理条例（草案）》

中联重科招聘法务部副部长

中止！全国首例低空经济特许戛然叫停

郑州两公司被网信办处罚：因网站停用后未采取网安防护措施

“萝卜快跑”被擅自注册为企业名称，法院认定“傍名牌”构成不正当竞争

美国议员公开信：为何现在是对各州人工智能立法采取行动的时候？

AI顶会MIT教授侮辱中国学生“不诚实”！AI大佬集体痛斥，道歉信来了

一文读懂：生成式人工智能对数据治理的影响

中译本全文 | 美国上诉法院驳回Tiktok提出的在最高法院裁决期间暂停执行禁令的紧急动议

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉