No es infrecuente que la policía se ponga en contacto con las empresas para aclarar los hechos. Para ello, las autoridades exigen la transmisión de grabaciones de videovigilancia, direcciones IP, nombres de los conductores del vehículo de empresa o datos personales similares. Pero, ¿cuándo se ajusta esa información a la legislación sobre protección de datos?
Averigüe aquí qué pasos de la lista de control para facilitar información a la policía y otras autoridades debe comprobar antes de datos personales a las autoridades.
1. identificación de la autoridad requirente
Antes incluso de realizar un examen sobre la Datos afectados es importante identificar primero a la autoridad solicitante. Esto no es una obligación en virtud del RGPD, sino una medida de autoprotección. Si más adelante se acusa a su empresa de una transferencia no autorizada (infracción de la protección de datos), debe poder demostrar en qué circunstancias se produjo la transferencia y que cumplía la normativa de protección de datos.
Por lo tanto, debe estipular dentro de la empresa que ninguna información sobre datos personales por teléfono. En el caso de consultas por escrito, los empleados siempre deben comprobar cuidadosamente el remitente. Toda comunicación debe documentarse.
2. examen de la solicitud de información
Como responsable, debe comprobar si la autoridad solicitante está autorizada a solicitar los datos correspondientes. Una solicitud de información debe tener siempre una base jurídica. Puede ser una orden judicial, una solicitud de información de la fiscalía o un párrafo del Código de Procedimiento Penal (StPO) y una breve justificación o descripción de los hechos.
En este punto, apague asegúrese también de ponerse en contacto con su responsable de protección de datos en paralelo con el departamento jurídico o similar. Pueden reconocer rápidamente cualquier riesgo que pueda surgir y asesorarle en consecuencia.
3. revisión de la base jurídica
Según el artículo 5 La DSGVO puede el tratamiento sólo puede tener lugar si la base jurídica correspondiente lo permite. Esto significa que la transferencia debe estar justificada sobre la base del artículo 6 del RGPD o del artículo 9 del RGPD para datos de categoría especial.
a. Art. 6 I lit. c DSGVO: obligación legal
El responsable del tratamiento podrá transmitir los datos que recopile en virtud de una obligación legal correspondiente. Si, por ejemplo, la policía quiere obtener información sobre la base del Código de Procedimiento Penal, la empresa está obligada, por lo general, a facilitar información dentro del ámbito del Código de Procedimiento Penal. Sin embargo, también puede existir la correspondiente voluntariedad o derecho a negarse a declarar.
b. Art. 6 I lit. f DSGVO: intereses legítimos preponderantes
De lo contrario, la información podrá ser retenida por razones imperiosas. intereses legítimos estar justificado. El considerando 50 del RGPD establece que la persecución penal constituye un interés legítimo.
c. Art. 9 del RGPD: datos personales especiales
Si los datos relativos a la información son de una categoría especial con arreglo al artículo 9 del RGPD, deberá respetarse el nivel de protección más elevado. No obstante, el legislador alemán ha hecho uso de la posibilidad de una cláusula de apertura conforme al art. 9 II lit. g en conjunción con IV DSGVO y ha creado la sección 4 III BDSG. Regula, entre otras cosas, la divulgación de material procedente de la videovigilancia de espacios de acceso público con fines policiales. Sin embargo, no están cubiertas otras formas de videovigilancia, como la de zonas internas de la empresa a las que sólo tienen acceso los empleados.
También en este caso debe consultarse siempre al responsable de la protección de datos.
4. publicación y documentación
Si los datos se liberan al final, esto también debe documentarse.
A la hora de facilitar información, debe respetarse el principio de minimización de datos, de modo que el material siempre debe acortarse o ennegrecerse lo máximo posible. Además, la divulgación de la información debe ir acompañada de medidas técnicas y organizativas para proteger los datos. Todos los pasos de la lista de comprobación y el procedimiento correspondiente de la empresa deben documentarse detalladamente.
Conclusión
En la zona Protección de datos en la empresa es importante crear directrices normalizadas que sirvan de guía cada vez que se traten datos personales. Estas directrices, como la lista de control explicada aquí para tratar las solicitudes de información de autoridades como la policía, deben ser conocidas por todos los empleados. Es importante Formación de todos los empleados es esencial en este caso.
La inclusión del el delegado de protección de datos facilita el procedimiento y evita muchas violaciones de la protección de datos. El responsable de la protección de datos debe seleccionarse cuidadosamente y formarse con regularidad. Es aconsejable nombrar a un responsable de protección de datos profesional externo.
¿Busca un delegado de protección de datos externo o necesita ayuda en el ámbito de la protección de datos (por ejemplo, sensibilización en línea de los empleados o sesiones de formación en directo adaptadas a su empresa)? Póngase en contacto con nosotros Nuestro equipo de expertos está deseando conocerle.
Español 
Deutsch 
English 
Français 
Polski