团队介绍:
垦丁出海团队,国内外一站式法律合规顾问
垦丁出海团队致力于帮助各类出海企业,解决企业在逐鹿海内外路上遇到的各类疑难法律问题,致力于成为企业“出海灯塔”,让客户在全球业务上,可以无惧艰难,乘风破浪,让出海成为第二增长曲线。目前已服务过80+头部互联网企业、独角兽企业。共计发表400篇+原创法律文章。进行200场+专业分享。发布20份+行业法律分析报告。
(如需获取报告或存在项目需求,欢迎联系。)
联系方式:
邮箱:jie.wang@kindinglaw.com
TEL:+86 13650790754
文/ 王捷律师团队
引言
今天想跟大家聊聊一起备受关注的欧盟法院判决(C-65/23),该判决深入探讨了在员工个人数据处理中,GDPR与集体协议之间的关系。
这起案件的核心在于,当集体协议允许处理员工个人数据时,这种处理是否还需要满足GDPR的其他要求?
案件背景
MK是一家德国公司的员工,也是公司工会的主席。该公司最初使用A软件处理员工数据。后来,为了集团统一管理,引入了B软件。在引入B软件的过程中,公司与工会达成了协议,允许将员工数据从A转移到B,协议中明确限制了可转移的数据类型和用途。
MK认为公司转移了协议中未包含的个人敏感信息,例如私人联系方式、薪酬细节、社保和税号等,因此提起诉讼,要求赔偿。
公司认为数据处理基于集体协议,且符合GDPR第88条关于就业背景下数据处理的规定。MK则认为,即使有集体协议,数据处理仍然要符合 GDPR 的其他条款,特别是关于数据处理必要性的要求。
争议焦点
本案件的争议焦点围绕有关公司对员工数据处理的集体协议展开。
1. 集体协议的效力范围
基于集体协议的数据处理,是否可以豁免 GDPR 的其他要求?特别是第5条(数据处理原则)、第6条第1款(数据处理的合法性)和第9条第1和2款(特殊类别数据的处理)?
2. 集体协议的自决权
集体协议的双方在评估数据处理的必要性时,其自决权是否可不受司法审查?如果自决权受限,司法审查应当限制哪些方面?
判决内容
1. GDPR的整体目标
欧盟法院强调,GDPR 的目标是在整个欧盟内确保个人数据保护水平的一致性和高标准。GDPR 允许成员国在特定情况下制定更具体的规则,但这些规则不能违背 GDPR 的整体目标。
2. GDPR第88条的效力
GDPR第88条允许成员国通过法律或集体协议制定更具体的规则来保护就业环境下的员工数据。法院认为,虽然第88条赋予了成员国和集体协议双方一定的自由裁量权,但这并不意味着可以绕过GDPR的其他基本要求。
欧盟法院明确指出,基于第88条制定的规则,必须同时满足GDPR第5、6、9条的要求。这意味着,即使数据处理有集体协议支持,也必须遵循数据最小化原则、合法性原则以及特殊类别数据的处理规则。
3. 集体协议的自决权
欧盟法院认为,集体协议的双方在评估数据处理的“必要性”时,其自决权与成员国在制定规则时受到的限制相当。这意味着,集体协议必须以保护员工的权利和自由为目标,不能损害GDPR的保护目标。
4. 司法审查的范围
欧盟法院强调,国家法院必须对集体协议进行全面的司法审查,以确保其符合 GDPR 的要求。特别是要审查数据处理的必要性是否真正成立,而不能仅仅依赖集体协议双方的评估。
判决要点
● 即使有集体协议,员工数据处理依然要完全符合GDPR的要求,包括第5、6和9条。
● 集体协议双方在评估数据处理必要性时,不享有不受限制的自决权。国家法院有权对集体协议进行全面司法审查,确保其符合 GDPR 的要求。
结语
这个判决澄清了集体协议在数据保护方面的局限性,并强调了GDPR对所有个人数据处理的普遍适用性。它提醒企业和工会,在处理员工数据时,不能仅仅依靠集体协议,而必须全面遵守GDPR的各项规定。
主编介绍
王 捷 律师
垦丁律师事务所合伙人、广州创始合伙人、主任律师
W&W国际法律团队创始人
荣登律商联讯(LexisNexis)2023「40位40岁以下的法律精英」榜单
王律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作积累了14年+科技型公司实务经验,具备中外律所从业背景。
专攻领域:
个人信息保护与全球数据合规、企业出海合规、互联网产品及业务模式综合合规、网络安全、广告合规、知识产权攻防布局、前沿科技领域实务合规等。专精于移动互联网、智能制造业与物联网、智能网联汽车与车机系统、电子商务及平台、直播与短视频、社交网络平台、AIGC、区块链、云计算、web3.0、NFT等新兴前沿行业。
涉足国家及地区:
欧洲(欧盟、英国、俄罗斯)、北美洲(美国、加拿大)、日本、韩国、印度、东南亚多国(新加坡、泰国、马来西亚、印尼、越南、菲律宾等多国)、中东(沙特、阿联酋、阿曼、埃及等)、南美洲(巴西、阿根廷等)、非洲多国、以及中国(港澳台地区)等超过30+国家与地区。
职业资格:
是广东数据资产登记合规委员会评审专家、持有CIPP/E(国际信息隐私专家认证/欧盟)、CIPM(注册信息隐私管理专家)、区块链应用操作员资格证书、数据安全师数据合规官等资格证书。
联系方式:jie.wang@kindinglaw.com
+86 13650790754
推荐阅读:
感谢有你!请查收垦丁王捷律师团队2024年度报告总结,助力2025企业出海!
帮你总结好了 | 2024年全球各国数据合规核心议题,含六大区域及十二国,助力出海2025
年终报告季丨更新至7.0版本!个人信息保护数据合规法律法规汇编(截止2024年12月27日)
美国司法部发布数据跨境传输最终规定,以应对外部获取美国敏感的个人和政府相关数据所带来的紧迫国家安全风险
垦丁荣誉|王捷律师荣登律商联讯2023年 “40位40岁以下的法律精英”榜单
W&W国际法律团队 | 欧盟-美国隐私框架「DPF」解读全系列
合规实务 | AIGC非知识产权领域的法律风险与合规应对
合规实务 | AIGC知识产权领域的法律风险与合规应对
要点分析 | 欧盟Artificial Intelligence Act 解读(二)
要点分析 | 欧盟Artificial Intelligence Act 解读(一)
