Prowadząc listę wejść i wyjść, nie zapominaj o obowiązku informacyjnym

Dodano: 16 kwietnia 2019
spis z natury

W przypadku, gdy podmiot zarządzający budynkiem weryfikuje tożsamość i utrwala dane osób wchodzących do tego budynku, musi spełnić obowiązki, jakie nakłada na niego RODO. Jak zaznacza Prezes Urzędu Ochrony Danych Osobowych, przede wszystkim powinien on zrealizować obowiązek informacyjny wynikający z art. 13 RODO.

 

Najlepszym rozwiązaniem klauzula informacyjna w pobliżu wejścia 

Jak sygnalizuje Prezes UODO, częstym zjawiskiem jest pozyskiwanie danych osobowych od osób wchodzących na teren firm lub instytucji publicznych. Mimo tego administratorzy nie realizują obowiązku informacyjnego. W związku z tym Prezes UODO przypomina, że już na etapie gromadzenia danych osobowych podmioty danych powinny zostać poinformowane w szczególności o tym:

  • kto przetwarza ich dane osobowe (art. 13 ust. 1 pkt a RODO),
  • w jakim celu i na jakiej podstawie prawnej to robi (art. 13 ust. 1 pkt c RODO),
  • kim są odbiorcy danych osobowych (art. 13 ust. 1 pkt e RODO),
  • jaki jest okres przechowywania danych osobowych (art. 13 ust. 2 pkt a RODO),
  • o prawie dostępu do danych (art. 13 ust. 2 pkt b RODO),
  • o prawie do sprostowania danych (art. 13 ust. 2 pkt b RODO),
  • o prawie do usunięcia lub ograniczenia przetwarzania danych (art. 13 ust. 2 pkt b RODO),
  • o prawie do wniesienia sprzeciwu wobec przetwarzania danych (art. 13 ust. 2 pkt b RODO),
  • o prawie do wniesienia skargi do UODO (art. 13 ust. 2 pkt d RODO).
Uwaga

Odpowiednim rozwiązaniem jest tu zamieszczenie czytelnej klauzuli informacyjnej w miejscu odbierania danych, np. na kontuarze recepcyjnym lub tablicy umieszczonej tuż nad nim.

Różne podstawy przetwarzania danych

Formułując klauzulę informacyjną, należy zwrócić szczególną uwagę na podstawę przetwarzania danych. W niektórych sytuacjach podstawę tę może stanowićwykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO).

Przykład

Ewidencja wejść i wyjść jest konieczna w celu realizacji zadań określonych w ustawie o zasadach zarządzania mieniem państwowym, gdzie dla zapewnienia bezpieczeństwa mienia możliwe jest stosowanie zabezpieczeń na terenie nieruchomości i w obiektach budowlanych stanowiących mienie państwowe (art. 5a ustawy o zasadach zarządzania mieniem państwowym). Innym przykładem może być ogólny  obowiązek zapewnienia bezpieczeństwa w szkole ( art. 1 pkt 14 Prawa oświatowego).

Podstawą przetwarzania danych w związku z ewidencjonowaniem wejść i wyjść może być również konieczność wypełnienia obowiązku prawnego spoczywającego na administratorze (art. 6 ust. 1 lit. c RODO) np. obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do lub z określonych stref ochronnych (art. 46 pkt. 1 ustawy o ochronie informacji niejawnych).

Poza tym zgodnie z art. 36 ust. 1 ustawy o ochronie osób i mienia pracownicy ochrony mogą przetwarzać dane osobowe osób wchodzących do budynku. Przesłanką przetwarzania danych osobowych w ewidencji wejść i wyjść jest wówczas  prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Nie zapominajmy o środkach bezpieczeństwa

Należy ustalić m.in. w jaki sposób dokonywana będzie weryfikacja tożsamości danej osoby, która zamierza wejść do budynku. Należy przy tym mieć na względzie obowiązywanie reguły minimalizacji danych z art. 5 ust.  lit. c RODO. W świetle tej reguły (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO). Pozyskiwanie danych osobowych przez zarządców czy właścicieli budynków, będzie działaniem dopuszczalnym, jeżeli będzie ograniczone do niezbędnych danych, tj. obejmujących imię, nazwisko oraz numer dokumentu tożsamości wraz z jego nazwą. Poza tym zgodnie z zasadą ograniczenia przechowywania dane powinny być gromadzone przez okres nie dłuższy niż jest to niezbędne do celów, w których zostały zebrane (art. 5 ust. 1 lit. e RODO). Administrator przetwarzający dane osobowe w związku z ewidencjonowaniem wejść i wyjść powinien wprowadzić również odpowiednie rozwiązania zapewniające bezpieczeństwo przetwarzanych danych (art. 24 i art. 32 ust. 1 RODO).

Źródło:

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x