دخلت لائحة حماية البيانات العامة (GDPR) حيز التنفيذ في 25 مايو 2018. أحدث تنفيذ اللائحة متطلبات أكثر صرامة لمعالجة البيانات الشخصية. في علاقة العمل، يتم معالجة العديد من البيانات الشخصية. لذلك، من الأهمية بمكان أن يكون صاحب العمل على دراية بالتزاماته وكيفية معالجة البيانات الشخصية. خلال ربيع عام 2023، نظرت محكمة الاتحاد الأوروبي قضايا تتعلق بمعالجة البيانات الشخصية في علاقة العمل. سيتم سرد قضية تتعلق بالمعلومات التي يجب على صاحب العمل كمسؤول عن المعالجة أن يقدمها بناءً على طلب الموظف.
في 12 يناير 2023، قامت المحكمة الأوروبية بنظر قضية إذا كان لدى المسؤول عن المعلومات الشخصية واجب تسليم هوية مستلمي المعلومات الشخصية في الحكم C-154/21.
كان الموظف قد طلب الحصول على البيانات الشخصية المتعلقة به وفي حال تم تسليم البيانات لطرف ثالث كان الموظف يود معرفة إلى من تم تسليمها. وفقًا للمادة 15 (1) (ج) من اللائحة العامة لحماية البيانات (GDPR) ، يجب على المسؤول عن المعلومات الشخصية تزويد المستفيد بمعلومات حول المستلمين أو فئات المستلمين التي يتم تسليم المعلومات الشخصية إليها إذا طلب المستفيد ذلك. قدمت الشركة في هذه الحالة فئات المستلمين مثل شركات الإعلان وشركات تكنولوجيا المعلومات كأمثلة.
أوضحت المحكمة الأوروبية أن حق المستفيد في الحصول على البيانات الشخصية المتعلقة به يتطلب من المسؤول عن المعلومات الشخصية تقديم هوية المستلمين المحددين عندما يتم تسليم البيانات أو سيتم تسليمها. وذلك لضمان حقوق المستفيد الأخرى المنصوص عليها في لائحة حماية البيانات مثل الحق في التحقق من صحة البيانات المتعلقة به والحق في معالجة البيانات بشكل قانوني. نفس الأمر ينطبق لممارسة حقه في التصحيح، والحذف، أو تقديم دعوى بسبب الضرر.
يجب ملاحظة أن حق حماية البيانات الشخصية ليس حقًا مطلقًا وإنما يجب تطبيقه بالنسبة لدوره في المجتمع ويجب مقارنته مع حقوق أخرى. لذلك، يتم تقييد حق معرفة هوية المستلم إذا كان من المستحيل تحديد هوية المستلمين المحددين أو إذا كان طلب المستفيد بالحصول على المعلومات غير معقول أو غير مبرر. في حالة كون ذلك صحيحًا، فمن المقبول أن يُبلغ المسؤول عن المعلومات الشخصية المستفيد بفئات المستلمين فقط.
تشير الحكم بشكل خلاصة إلى أن المسؤول عن المعلومات الشخصية ملزم بتقديم هوية المستلمين الفعلية للمستفيد ما لم يكن من الممكن تحديدهم أو يمكن للمسؤول عن المعلومات الشخصية إظهار أن الطلب غير مبرر أو غير معقول. عند تفسير القانون الأوروبي، يجب مراعاة غرض وسياق التشريع.
يُظهر حكم المحكمة الأوروبية الأهمية الإضافية للمسؤول العامل في معالجة المعلومات الشخصية. وخاصة، يتطلب الحكم الشفافية كأساس. يجب أن يكون لدى صاحب العمل شفافية في كيفية معالجة المعلومات الشخصية وأن يكون لديه السيطرة الكاملة على المستلمين المحددين للمعلومات. يجب أن يكون صاحب العمل أيضًا على استعداد لتقديم هذه المعلومات إذا طلبها الموظف. هذا يعني أن أصحاب العمل بصفتهم المسؤولين عن المعلومات الشخصية يجب عليهم ضمان الإجراءات عند تسليم المعلومات الشخصية.