Siempre que en una empresa se procesen datos personales, el responsable respectivo debe cumplir la normativa de protección de datos. Las infracciones de la normativa de protección de datos pueden dar lugar a multas elevadas. Por regla general, esta multa se impone al empresario en caso de infracción. Sin embargo, en caso de tratamiento por parte del comité de empresa, éste también puede Responsable del tratamiento según la ley de protección de datos ¿ser?
¿En qué medida procesa datos el comité de empresa?
En las empresas que disponen de comité de empresa (empresas cogestionadas), la mayoría de las cesiones se realizan a través del comité de empresa. datos personales sobre esto. El comité de empresa debe participar en la contratación de nuevos trabajadores. Recibe todos los documentos de solicitud (art. 99 I BetrVG). También se informa al comité de empresa sobre los motivos de despido, las incapacidades laborales de larga duración y los embarazos. El comité de empresa también puede inspeccionar las listas de sueldos y salarios no anonimizadas (§ 80 II 2 BetrVG). Esto significa que no sólo datos personalespero incluso los de la categoría especial (Art. 9 GDPR) son procesados por el comité de empresa.
¿Dónde se regula el tratamiento de datos y la responsabilidad?
En principio, el GDPR cualquier tratamiento de datos en Europa. El RGPD contiene una cláusula de apertura para el tratamiento de datos en el contexto laboral (art. 88 del RGPD). Esto significa que son posibles normativas nacionales en este ámbito. Por ello, el legislador alemán ha creado el artículo 26 de la BDSG. Sin embargo, no contiene ninguna regulación sobre si el comité de empresa puede ser el responsable del tratamiento. El sitio Definición del término "persona responsable recae enteramente en el GDPR. En resumen, el responsable del tratamiento es la persona que datos personales efectivamente tratados y decide sobre los fines y medios del tratamiento (art. 4 n.º 7 del RGPD).
¿Puede ser responsable el comité de empresa?
Que el comité de empresa datos personales es evidente, como ya se ha dicho.
Además, el responsable del tratamiento también tendría que decidir los medios y fines del tratamiento. Este paso es anterior al tratamiento propiamente dicho. Al fin y al cabo, el Tratamiento de datos personales lícitos únicamente para fines predefinidos (art. 5 Ib del RGPD). Del mismo modo, el responsable del tratamiento decide sobre los medios de tratamiento, es decir, principalmente sobre los métodos técnicos.
Un comité de empresa decide Tratamiento de datos personales no sólo si toma nota de esos datos o con qué fin (finalidad), sino también cómo o qué ocurre con esos datos (medios). Desde este punto de vista, puede considerarse que es el responsable del tratamiento.
Críticas en el marco del Derecho laboral
Este punto de vista es criticado sobre todo por los abogados laboralistas. Subrayan que la Ley de Constitución de Comités de Empresa (BetrVG) establece límites estrechos a la decisión del comité de empresa sobre si procesar datos y cómo hacerlo. Por lo tanto, no puede decidir libremente y no puede ser la persona responsable.
La consecuencia de este punto de vista sería que todo tratamiento de datos por parte del comité de empresa debería atribuirse al empresario. Sin embargo, en el marco establecido por la Ley de Constitución de Comités de Empresa (BetrVG), el comité de empresa trata los datos para sí mismo y no para el empresario. El empresario no puede influir en las decisiones del comité de empresa sobre el tratamiento de los datos. Las restricciones impuestas por la Ley de Constitución de Comités de Empresa no cambian esta situación.
Problema de capacidad jurídica
Además, la opinión que afirma la responsabilidad se ve contrarrestada por el hecho de que la responsabilidad como persona responsable contradice la actividad en el comité de empresa como cargo honorífico no remunerado. El comité de empresa en sí no tiene ninguna responsabilidad y los miembros no deberían tener que responder personalmente por su cargo honorífico. No se pudo reclamar una indemnización efectiva por daños y perjuicios.
En opinión del TJCE, sin embargo, la capacidad jurídica de la persona responsable no desempeña ningún papel. En consecuencia, la responsabilidad debe interpretarse en sentido amplio como la capacidad de tomar decisiones. En consecuencia, debe examinarse a quién es imputable esta acción, es decir, en interés de quién se lleva a cabo el tratamiento. Según el TJCE, el comité de empresa en la forma de sus miembros puede ser considerado como el controlador si deciden de forma independiente. Por lo tanto, no es ni un procesador (Art. 28 III GDPR) ni una persona subordinada (Art. 29 GDPR).
Consecuencias para el comité de empresa
Por lo tanto, el comité de empresa, como responsable, está sujeto a las obligaciones derivadas de la ley de protección de datos. Según la jurisprudencia, también son razonables para el comité de empresa. El comité de empresa también es el destinatario de los derechos de los interesados.
Si el comité de empresa no cumple con estas obligaciones, puede ser objeto de medidas de investigación (Art. 58 I GDPR), medidas correctivas (Art. 58 II GDPR) y, como último recurso, multas (Art. 83 GDPR contra el miembro individual) en caso de un nivel de infracción correspondientemente alto. En principio, el empresario no es responsable junto con el comité de empresa en caso de incumplimiento.
Desea asesoramiento en materia de ¿Protección de datos en la empresa? Nuestro equipo de expertos estará encantado de ayudarle.
Español 
Deutsch 
English 
Français 
Polski