Nierzadko zdarza się, że policja kontaktuje się z firmami w celu wyjaśnienia faktów. Władze żądają przy tym przekazania nagrań z monitoringu, adresów IP, nazwisk kierowców samochodów służbowych lub podobnych danych osobowych. Kiedy jednak takie informacje są zgodne z przepisami o ochronie danych osobowych?
Dowiedz się tutaj, które kroki z listy kontrolnej dotyczącej informacji dla policji i ko. musisz sprawdzić, zanim przekażesz dane osobowe władzom.
1) określenie organu wnioskującego
Zanim jeszcze przeprowadzisz audyt dotyczący danych, których dotyczy, ważne jest, aby najpierw zidentyfikować organ wnioskujący. Nie jest to obowiązek wynikający z GDPR, ale środek ochrony własnej. Jeśli Twoja firma zostanie później oskarżona o niezgodne z prawem przekazanie danych (naruszenie ochrony danych), musisz być w stanie udowodnić, w jakich okolicznościach doszło do przekazania danych i że było ono zgodne z ochroną danych.
Dlatego ustal w firmie, że przez telefon nie będą udzielane żadne informacje o danych osobowych. W przypadku zapytań pisemnych pracownicy powinni zawsze dokładnie sprawdzić nadawcę. Każda komunikacja musi być udokumentowana.
2. przegląd wniosku o udzielenie informacji
Jako osoba odpowiedzialna musisz następnie sprawdzić, czy organ wnioskujący może w ogóle wystąpić o odpowiednie dane. Wniosek o udzielenie informacji musi zawsze mieć podstawę prawną. Może to być nakaz sądowy, wniosek o udzielenie informacji z prokuratury lub paragraf z Kodeksu postępowania karnego (StPO) oraz krótkie uzasadnienie lub opis stanu faktycznego.
W tym momencie pamiętaj, aby równolegle z działem prawnym lub podobnym zaangażować swojego inspektora ochrony danych. Mogą oni szybko zidentyfikować wszelkie zagrożenia, które mogą się pojawić i odpowiednio doradzić.
3. przegląd podstawy prawnej
Zgodnie z art. 5 GDPR przetwarzanie może mieć miejsce tylko wtedy, gdy pozwala na to również odpowiednia podstawa prawna. Dlatego wymagane jest uzasadnienie przekazania danych poprzez art. 6 DSGVO lub art. 9 DSGVO w przypadku danych kategorii specjalnej.
a. Art. 6 I lit. c DSGVO: obowiązek prawny
Administrator danych może przekazać dane, które zbiera na podstawie odpowiedniego obowiązku prawnego. Jeśli na przykład policja chce uzyskać informacje na podstawie Kodeksu postępowania karnego, firma jest zasadniczo zobowiązana do udzielenia informacji w zakresie Kodeksu postępowania karnego. Jednakże może również istnieć odpowiednia dobrowolność lub prawo do odmowy zeznań.
b. Art. 6 I lit. f DSGVO: nadrzędny uzasadniony interes
W przeciwnym razie dostęp może być uzasadniony na podstawie nadrzędnych uzasadnionych interesów. Motyw 50 GDPR stanowi, że egzekwowanie prawa stanowi taki uzasadniony interes.
c. Art. 9 GDPR: szczególne dane osobowe
Jeżeli dane dotyczące informacji należą do kategorii specjalnej zgodnie z art. 9 GDPR, należy przestrzegać wyższego poziomu ochrony. Niemiecki ustawodawca skorzystał jednak z możliwości klauzuli otwarcia zgodnie z art. 9 II lit. g w połączeniu z IV DSGVO i stworzył § 4 III BDSG. Reguluje on m.in. ujawnianie materiałów z monitoringu wizyjnego publicznie dostępnych przestrzeni w celu egzekwowania prawa. Nie obejmuje natomiast innego monitoringu wizyjnego, np. wewnętrznych obszarów firmy, do których dostęp mają tylko pracownicy.
Również w tym przypadku w indywidualnych przypadkach należy zawsze konsultować się z inspektorem ochrony danych.
4. publikacja i dokumentacja
Jeśli dane są udostępniane na końcu, należy to również udokumentować.
Przy udzielaniu informacji należy przestrzegać zasady minimalizacji danych, a więc zawsze należy maksymalnie skrócić lub zaczernić materiał. Ponadto przy ujawnianiu informacji muszą być zastosowane środki techniczne i organizacyjne chroniące dane. Wszystkie kroki listy kontrolnej oraz odpowiednia procedura przedsiębiorstwa muszą być szczegółowo udokumentowane.
Wniosek
W zakresie ochrony danych osobowych w przedsiębiorstwie ważne jest stworzenie jednolitych wytycznych, które mogą być wykorzystywane jako wskazówki za każdym razem, gdy mamy do czynienia z danymi osobowymi. Te wytyczne, jak np. wyjaśniona tutaj lista kontrolna dotycząca postępowania z wnioskami o udzielenie informacji od organów takich jak policja, muszą być znane wszystkim pracownikom. Regularne Szkolenie wszystkich pracowników ma tu kluczowe znaczenie.
Zaangażowanie inspektora ochrony danych również ułatwia procedurę i zapobiega wielu naruszeniom ochrony danych. Inspektor ochrony danych powinien być starannie wybrany i regularnie szkolony. Sensowne jest korzystanie z profesjonalnego zewnętrznego inspektora ochrony danych.
Szukasz zewnętrznego inspektora ochrony danych lub w inny sposób potrzebujesz pomocy w zakresie ochrony danych (np. uwrażliwienie pracowników online lub szkolenia na żywo dostosowane do Twojej firmy)? Skontaktuj się z nami! Nasz zespół ekspertów cieszy się na spotkanie z Państwem.
Polski 
Deutsch 
English 
Español 
Français