No es infrecuente que la policía se ponga en contacto con las empresas para aclarar los hechos. Para ello, las autoridades exigen la transmisión de grabaciones de videovigilancia, direcciones IP, nombres de los conductores del vehículo de empresa o datos personales similares. Pero, ¿cuándo se ajusta esa información a la legislación sobre protección de datos?
Averigüe aquí qué pasos de la lista de control para la información a la policía y co. tiene que comprobar antes de poder transmitir datos personales a las autoridades.
1. identificación de la autoridad requirente
Antes incluso de realizar una auditoría sobre los datos en cuestión, es importante identificar primero a la autoridad solicitante. No se trata de una obligación en virtud del RGPD, sino de una medida de autoprotección. Si más adelante se acusa a su empresa de una transferencia ilegal (infracción de la protección de datos), debe poder demostrar en qué circunstancias se produjo la transferencia y que era conforme con la protección de datos.
Por lo tanto, determine dentro de la empresa que no se dará información sobre datos personales por teléfono. En el caso de consultas por escrito, los empleados siempre deben comprobar cuidadosamente el remitente. Toda comunicación debe estar documentada.
2. examen de la solicitud de información
Como responsable, debe comprobar si la autoridad solicitante está autorizada a solicitar los datos correspondientes. Una solicitud de información debe tener siempre una base jurídica. Puede ser una orden judicial, una solicitud de información de la fiscalía o un párrafo del Código de Procedimiento Penal (StPO) y una breve justificación o descripción de los hechos.
En este punto, asegúrese de implicar a su responsable de protección de datos en paralelo con el departamento jurídico o similar. Pueden identificar rápidamente cualquier riesgo que pueda surgir y asesorarle en consecuencia.
3. revisión de la base jurídica
De conformidad con el artículo 5 del RGPD, el tratamiento sólo puede tener lugar si la base jurídica correspondiente también lo permite. Por lo tanto, se requiere una justificación de la transferencia mediante el artículo 6 de la DSGVO o el artículo 9 de la DSGVO para datos de categoría especial.
a. Art. 6 I lit. c DSGVO: obligación legal
El responsable del tratamiento podrá transmitir los datos que recopile en virtud de una obligación legal correspondiente. Si, por ejemplo, la policía quiere obtener información sobre la base del Código de Procedimiento Penal, la empresa está obligada, por lo general, a facilitar información dentro del ámbito del Código de Procedimiento Penal. Sin embargo, también puede existir la correspondiente voluntariedad o derecho a negarse a declarar.
b. Art. 6 I lit. f DSGVO: intereses legítimos preponderantes
En caso contrario, el acceso podrá justificarse sobre la base de intereses legítimos imperiosos. El considerando 50 del RGPD establece que la aplicación de la ley constituye un interés legítimo.
c. Art. 9 del RGPD: datos personales especiales
Si los datos relativos a la información son de una categoría especial con arreglo al artículo 9 del RGPD, deberá respetarse el nivel de protección más elevado. No obstante, el legislador alemán ha hecho uso de la posibilidad de una cláusula de apertura conforme al art. 9 II lit. g en conjunción con IV DSGVO y ha creado la sección 4 III BDSG. Regula, entre otras cosas, la divulgación de material procedente de la videovigilancia de espacios de acceso público con fines policiales. Sin embargo, no están cubiertas otras formas de videovigilancia, como la de zonas internas de la empresa a las que sólo tienen acceso los empleados.
También en este caso debe consultarse siempre al responsable de la protección de datos.
4. publicación y documentación
Si los datos se liberan al final, esto también debe documentarse.
A la hora de facilitar información, debe respetarse el principio de minimización de datos, de modo que el material siempre debe acortarse o ennegrecerse lo máximo posible. Además, la divulgación de la información debe ir acompañada de medidas técnicas y organizativas para proteger los datos. Todos los pasos de la lista de comprobación y el procedimiento correspondiente de la empresa deben documentarse detalladamente.
Conclusión
En el ámbito de la protección de datos en la empresa, es importante crear directrices uniformes que sirvan de guía cada vez que se manejen datos personales. Estas directrices, al igual que la lista de control explicada aquí para tratar las solicitudes de información de autoridades como la policía, deben ser conocidas por todos los empleados. A regular Formación de todos los empleados es esencial en este caso.
La participación del responsable de la protección de datos también facilita el procedimiento y evita muchas violaciones de la protección de datos. El responsable de la protección de datos debe seleccionarse cuidadosamente y formarse con regularidad. Tiene sentido recurrir a un responsable externo profesional de la protección de datos.
¿Busca un delegado de protección de datos externo o necesita ayuda en el ámbito de la protección de datos (por ejemplo, sensibilización en línea de los empleados o sesiones de formación en directo adaptadas a su empresa)? Póngase en contacto con nosotros Nuestro equipo de expertos está deseando conocerle.