Il n'est pas rare que la police prenne contact avec des entreprises afin d'élucider des faits. Les autorités demandent alors la transmission d'enregistrements de vidéosurveillance, d'adresses IP, de noms de conducteurs de voitures d'entreprise ou d'autres données personnelles similaires. Mais quand cette communication est-elle conforme aux exigences de la protection des données ?
Découvrez ici les étapes de la check-list de renseignements à fournir à la police et autres avant de données à caractère personnel peuvent être transmises aux autorités.
1. identification de l'autorité requérante
Avant même de procéder à un examen concernant données concernées il est important de commencer par identifier l'autorité requérante. Il ne s'agit pas d'une obligation découlant du RGPD, mais d'une mesure d'autoprotection. Si, par la suite, il est reproché à votre entreprise une transmission non autorisée (violation de la protection des données), vous devez pouvoir prouver dans quelles circonstances la transmission a eu lieu et qu'elle était conforme à la protection des données.
Déterminez donc au sein de l'entreprise qu'aucune information concernant données à caractère personnel être données par téléphone. En ce qui concerne les demandes écrites, les collaborateurs doivent toujours vérifier attentivement l'expéditeur. Chaque communication doit être documentée.
2. vérification de la demande d'information
En tant que responsable, vous devez alors vérifier si l'autorité requérante est en droit d'exiger les données en question. Une demande d'accès doit toujours avoir une base juridique. Il peut s'agir d'une décision judiciaire, d'une demande de renseignements du ministère public ou d'un paragraphe du code de procédure pénale (CPP), accompagné d'une brève justification ou d'un exposé des faits.
A ce moment-là, mettez en marche votre délégué à la protection des données en parallèle avec le service juridique ou autre. Celui-ci peut rapidement identifier les risques éventuels et vous conseiller en conséquence.
3. vérification de la base juridique
Selon l'art. 5 Le RGPD autorise un traitement ne peut avoir lieu que si la base juridique correspondante l'autorise. Il faut donc une justification de la transmission via l'article 6 du RGPD ou l'article 9 du RGPD pour les données de catégorie particulière.
a. Art. 6 I lit. c RGPD : obligation légale
Le responsable peut transmettre les données qu'il collecte sur la base d'une obligation légale correspondante. Si, par exemple, la police souhaite obtenir des informations sur la base du code de procédure pénale, l'entreprise est en principe tenue de fournir des informations dans le cadre du code de procédure pénale. Dans ce cas, il peut également s'agir d'une obligation volontaire ou d'un droit de refus de témoigner.
b. Art. 6 I let. f RGPD : intérêts légitimes prépondérants
Dans le cas contraire, un renseignement peut être demandé sur la base d'un intérêt prépondérant. intérêts légitimes être justifié. Le considérant 50 du RGPD stipule que les poursuites pénales constituent un tel intérêt légitime.
c. Art. 9 RGPD : données à caractère personnel particulières
Si les données concernant l'information sont des données de la catégorie particulière selon l'article 9 du RGPD, la protection plus élevée doit être respectée. Le législateur allemand a toutefois fait usage ici de la possibilité d'une clause d'ouverture selon l'article 9 II lettre g en relation avec l'article IV du RGPD et a créé l'article 4 III BDSG. Celui-ci réglemente entre autres la transmission de matériel issu de la vidéosurveillance de locaux accessibles au public à des fins de poursuite pénale. D'autres types de vidéosurveillance, comme par exemple les zones internes à l'entreprise auxquelles seuls les employés ont accès, ne sont toutefois pas concernés.
Dans ce cas également, il convient de toujours consulter le délégué à la protection des données au cas par cas.
4. édition et documentation
Si des données sont finalement communiquées, cela doit également être documenté.
Lors du renseignement, il faut surtout veiller au principe de minimisation des données, de sorte que le matériel doit toujours être raccourci ou noirci autant que possible. En outre, des mesures techniques et organisationnelles doivent également être mises en place pour protéger les données. Toutes les étapes de la liste de contrôle et la procédure correspondante de l'entreprise doivent être documentées en détail.
Conclusion
Dans le domaine Protection des données dans l'entreprise il est important de créer des lignes directrices uniformes auxquelles se référer à chaque fois que des données à caractère personnel sont traitées. Ces lignes directrices doivent être connues de tous les membres du personnel, à l'instar de la liste de contrôle expliquée ici pour le traitement des demandes d'informations émanant d'autorités telles que la police. Une évaluation régulière Formation de tous les collaborateurs est indispensable à cet égard.
De même, l'inclusion du L'intervention du délégué à la protection des données facilite la démarche et évite bien des violations de la protection des données.. Le délégué à la protection des données doit être choisi avec soin et formé régulièrement. Il est judicieux de faire appel à un délégué à la protection des données externe et professionnel.
Vous recherchez un délégué à la protection des données externe ou vous avez besoin d'aide dans le domaine de la protection des données (par ex. sensibilisation en ligne des collaborateurs ou formations en direct adaptées à votre entreprise) ? Contactez-nous ! Notre équipe d'experts se réjouit de vous rencontrer.
Français 
Deutsch 
English 
Español 
Polski