U ovom članku analiziramo slučaj iz prakse italijanskog tela za zaštitu podataka o ličnosti („Garante”), koji se odnosi na obradu odnosno razmenu ličnih podataka zaposlenih između italijanskih avio kompanija Alitalia i ITA Airways.

Povod za postupak bila je poslovna transakcija iz 2021. godine, u okviru koje je došlo do prenosa imovine između navedenih kompanija, bez istovremenog preuzimanja zaposlenih.

Upravo ova okolnost otvorila je pitanje zakonitosti dalje obrade, odnosno razmene ličnih podataka zaposlenih između dve kompanije.

Činjenično stanje

Kompanija Alitalia je 2021. godine ušla u stečajni postupak u okviru kog je prodala deo imovine kompaniji ITA Airways, koja je osnovana kao novi nacionalni avio-prevoznik. Međutim, sama transakcija nije podrazumevala da nova kompanija preuzima postojeće ugovore o radu zaposlenih.

Usled potrebe za angažovanjem radne snage, ITA Airways je pokrenula proces zapošljavanja, nameravajući da zaposli bivše zaposlene Alitalia, pri čemu je kompanija Alitalia dostavila lične podatke svojih bivših zaposlenih (podaci su bili stavljeni na raspolaganje kroz SharePoint folder uz ograničen pristup). Dostavljeni podaci obuhvatali su ne samo osnovne identifikacione i kontakt informacije, već i dodatne podatke kao što su bračni status, visina zarade, profesionalne kvalifikacije, kao i određene informacije u vezi sa radnim odnosom ovih lica u Alitalia, uključujući podatke o otkazima i sudskim postupcima sa Alitalijom.

Tokom 2023. godine, jedan bivši zaposleni i ujedno sindikalni predstavnik Aliitalije, podneo je zahtev za pristup podacima obema kompanijama – rukovaocima, posebno tražeći informacije o tome da li su njegovi podaci razmenjeni i na koji način su obrađivani.

Kompanija ITA Airways odgovorila je da ne obrađuje njegove podatke u trenutku podnošenja zahteva, i dalje uputila na svoju politiku privatnosti. Kompanija Alitalia nije odgovorila u zakonskom roku.

Zaposleni je potom podneo pritužbu Garante protiv obe kompanije, i to protiv ITA Airways zbog neadekvatnog odgovora, a protiv Alitalije jer nije dala nikakav odgovor, a koje je Garante razmatrao u jedinstvenom postupku.

Alitalia je u toku postupka odgovorila da je podatke zaposlenog dostavila ITA Airways u okviru pomenute transakcije, takođe upućujući na svoju politiku privatnosti.

Nakon podnošenja pritužbi, Garante je pokrenuo postupak u kom je utvrdio da su prekršeni ključni principi GDPR-a. 

Povreda načela zakonitosti, pravičnosti i transparentnosti obrade   

Pre svega, Garante je utvrdio da su povređena osnovna načela obrade podataka, uključujući načelo zakonitosti, pravičnosti i transparentnosti, s obzirom na to da obrada nije bila zasnovana na valjanom pravnom osnovu niti je bila transparentno komunicirana zaposlenima.

Posebno je naglašeno da je obrada bila “sistemska i masovna” i da je obuhvatala i lica koja nikada nisu aplicirala za posao u ITA Airways.

Povreda prava na pristup

Garante je utvrdio da ni jedan od rukovaoca nije adekvatno odgovorio na zahtev zaposlenog.

Naime, Alitalia uopšte nije odgovorila na zahtev zaposlenog, dok ITA Airways nije pružila informacije o prethodnoj obradi, kako je traženo.

Konkretno, rukovaoci nisu pružili konkretne informacije i to da li su lični podaci razmenjeni i na koji način su obrađivani, a Garante smatra da upućivanje na politike privatnosti nije adekvatan odgovor na zahtev zaposlenog.

Povreda obaveze informisanja

Garante je utvrdio da zaposleni nisu bili informisani o prenosu tj. razmeni i obradi njihovih podataka, kao i da politike privatnosti rukovaoca nisu sadržale relevantne informacije niti je dokazano da su dostavljene zaposlenima.

Posebno je istaknuto da informisanje mora biti specifično i konkretno, a ne apstraktno kroz opšte politike privatnosti.

Nezakonita obrada podataka

Rukovaoci su se branili pozivanjem na više pravnih osnova za predmetnu obradu podataka o ličnosti zaposlenih, ali ovakve argumente Garante nije prihvatio, zaključujući da je obrada bila nezakonita. 

Ugovor o radu (član 6(1)(b) GDPR)

Rukovaoci su tvrdili da su mnogi zaposleni Alitalie podneli prijave za posao kod ITA Airways pre ulaska Alitalie u stečaj, te da je obrada bila neophodna za zaključivanje ugovora o radu.

Međutim, Garante je utvrdio da su podaci o ličnosti svih zaposlenih bili predmet razmene, a ne samo onih koji su se prijavili.

Zbog toga ovaj pravni osnov pokriva samo deo podataka, pa ovaj argument nije prihvatio. 

Zakonska obaveza (član 6(1)(c) GDPR) 

Rukovaoci su tvrdili da je obrada bila neophodna zbog zakonske obaveze, pozivajući se na odredbe nacionalnog propisa.

Međutim, Garante je utvrdio da te odredbe samo omogućavaju prodaju imovine i ne pominju obradu ličnih podataka, odnosno ne daju osnov za masovni prenos podataka o ličnosti zaposlenih.

Zbog toga ni ovaj argument nije prihvatio.

Legitimni interes (član 6(1)(f) GDPR)

Rukovaoci su tvrdili da imaju legitimni interes za pravilno sprovođenje transakcije.

Međutim, Garante je utvrdio da nisu sproveli test legitimnog interesa.

Uz to je ukazano da se legitimni interes ne može koristiti kao „rezervni” osnov kada drugi osnovi ne postoje.

Takođe je naveo da u ovom slučaju legitimni interes ionako ne bi mogao biti pravni osnov.

Naime, Garante smatra da ovaj osnov uopšte nije bio primenljiv jer nisu postojali elementi koji bi to omogućili, pri čemu nije objasnio koji su to elementi, već se samo pozvao na smernice Radne grupe iz člana 29 bez konkretnog navođenja.

Zbog toga ni ovaj argument nije prihvatio.

Zaključak

Na osnovu utvrđenih navedenih povreda GDPR-a Garante je izrekao novčane kazne rukovaocima, u ukupnom iznosu od 1,25 miliona evra (1 milion za ITA Airways i 250.000 za Alitaliju).

Ova slučaj zapravo predstavlja deo šire pravne kontroverze između navedenih kompanija i bivših zaposlenih, u kojoj se dovodi u pitanje da li je predmetna transakcija zapravo predstavljala prenos poslovne celine, a ne samo pojedinačne imovine? Ovo je od značaja jer bi u tom slučaju, prema italijanskom pravu, došlo do automatskog prenosa ugovora o radu na ITA Airways.

Zaposleni, koji je podnosilac zahteva, već je bio uključen u ove sporove, i nastojao je da pribavi dokaz o masovnom prenosu podataka kao mogućem pokazatelju takvog prenosa.

S tim u vezi, Garante je ukazao da bi u slučaju prenosa poslovne celine, obrada mogla biti zasnovana na zakonskoj obavezi, ali taj osnov nije bio primenljiv jer su same kompanije tvrdila da je predmet transakcije deo imovine.

Dakle, ovaj slučaj jasno potvrđuje da obrada ličnih podataka zaposlenih, čak i u kontekstu složenih poslovnih transakcija, mora biti zasnovana na valjanom pravnom osnovu, uz poštovanje načela transparentnosti.

Posebno se ističe da pravo na pristup podacima podrazumeva obavezu rukovaoca da pruži konkretne i jasne informacije o načinu obrade, a ne samo da formalno uputi na opšta akta.

Najzad, razmena podataka između društva prethodnika i društva sledbenika, ne može se smatrati automatski dozvoljenom, već mora biti pravno utemeljena.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.