Ochrona danych osobowych

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak ma następować, to przetwarzanie danych osobowych w tym celu musi odpowiadać wymogom określonym w przepisach o ochronie danych osobowych.

Obowiązek informacyjny

Do Prezesa UODO napływają informacje o tym, że od osób wchodzących na teren firm prywatnych czy instytucji publicznych wymaga się podawania danych osobowych, nie realizując przy tym jednego z podstawowych obowiązków administratora, jakim jest informowanie osób o przetwarzaniu dotyczących ich danych. Tymczasem w takich sytuacjach osoby te powinny zostać poinformowane już na etapie gromadzenia danych m.in.:

  • kto przetwarza ich dane osobowe (art. 13 ust. 1 lit. a RODO),
  • w jakim celu i na jakiej podstawie prawnej to robi (art. 13 ust. 1 lit. c RODO),
  • kim są odbiorcy danych osobowych (art. 13 ust. 1 lit. e RODO),
  • jaki jest okres przechowywania danych osobowych (art. 13 ust. 2 lit. a RODO),
  • o prawie dostępu do danych (art. 13 ust. 2 lit. b RODO),
  • o prawie do sprostowania danych (art. 13 ust. 2 lit. b RODO),
  • o prawie do usunięcia lub ograniczenia przetwarzania danych (art. 13 ust. 2 lit. b RODO),
  • o prawie do wniesienia sprzeciwu wobec przetwarzania danych (art. 13 ust. 2 lit. b RODO),
  • o prawie do wniesienia skargi do UODO (art. 13 ust. 2 lit. d RODO).

Informacja dotycząca spełnienia przez administratora obowiązku informacyjnego wobec osoby wchodzącej na teren budynku musi być czytelna i znajdować się w miejscu odbierania danych, tak żeby osoba mogła się bez problemu z nią zapoznać np. na kontuarze recepcyjnym lub tablicy umieszczonej tuż nad nim.

Prowadzenie ewidencji wejść i wyjść w celu np. zapewnienia bezpieczeństwa osób przebywających w budynku lub znajdującego się w budynku mienia może dotyczyć wielu administratorów, realizujących to zadanie na podstawie różnych przepisów prawa. W określonych przypadkach, przetwarzanie danych może być niezbędne w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Przykładem zadań, o których mowa w tej przesłance są zadania określone w ustawie o zasadach zarządzania mieniem państwowym, gdzie dla zapewnienia bezpieczeństwa mienia możliwe jest stosowanie zabezpieczeń na terenie nieruchomości i w obiektach budowlanych stanowiących mienie państwowe (art. 5a ustawy o zasadach zarządzania mieniem państwowym). Innym przykładem może być ogólny  obowiązek zapewnienia bezpieczeństwa w szkole (art. 1 pkt 14 ustawy prawo oświatowe), który wskazuje, iż system oświaty zapewnia utrzymywanie bezpiecznych i higienicznych warunków nauki, wychowania i opieki w szkołach i placówkach. W innych przypadkach, przetwarzanie danych może być niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) np. obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt 1 ustawy o ochronie informacji niejawnych). Przepisy ustawy o ochronie osób i mienia dają podstawę pracownikom ochrony do przetwarzania danych osób wchodzących do budynku czy na teren przedsiębiorcy (art. 36 ust. 1 ustawy o ochronie osób i mienia). Przesłanką przetwarzania danych osobowych w ewidencji wejść i wyjść może być także  prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Inne obowiązki wynikające z przepisów o ochronie danych osobowych

Wprowadzenie ewidencji wejść i wyjść rodzi również po stronie administratora szereg innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator musi wypracować wewnętrzne procedury, w których precyzyjnie określi, w jaki sposób będzie on gromadzić, a następnie w jaki sposób i jak długo  - przechowywać dane osobowe w związku z przedmiotową ewidencją. Starannego przemyślenia wymaga również ustalenie, w jaki sposób dokonywana będzie weryfikacja tożsamości danej osoby, która zamierza wejść do określonej przestrzeni. Administrator zobowiązany jest precyzyjnie określić zakres danych osobowych i przetwarzać jedynie takie dane, które są niezbędne do osiągnięcia zamierzonego celu (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO). Pozyskiwanie danych osobowych przez zarządców czy właścicieli budynków, będzie działaniem dopuszczalnym, jeżeli będzie ograniczone do niezbędnych danych, tj. obejmujących imię, nazwisko oraz numer dokumentu tożsamości wraz z jego nazwą.

Administrator powinien każdorazowo pamiętać o tzw. zasadzie „ograniczenia przechowywania”, czyli gromadzeniu danych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są zebrane (art. 5 ust. 1 lit. e RODO). Innymi słowy, w sytuacji zrealizowania przez administratora zamierzonego celu, dane powinny zostać usunięte.

Niezmiernie istotne jest również zagwarantowanie odpowiedniego zabezpieczenia danych osobowych zawartych w ewidencji, w tym przed dostępem osób nieupoważnionych przez administratora. Administrator lub podmiot przetwarzający zobowiązany jest bowiem - uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia - wdrożyć i zapewnić skuteczne funkcjonowanie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa danym osobowym (art. 24 i art. 32 ust. 1 RODO). Innymi słowy administrator ma  obowiązek zorganizowania bezpieczeństwa procesu przetwarzania danych osobowych, w sposób odpowiadający obowiązującym przepisom w zakresie przetwarzania danych osobowych i  dokonania tego w taki sposób, który odpowiadał będzie zagrożeniom oraz kategoriom przetwarzanych danych.

Źródło: uodo.gov.pl

Obserwuj nas na:

Potrzebujesz porady prawnej?

KOMENTARZE (0)

Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE:

  • 26.3.2019

    Prezes UODO nałożyła pierwszą karę pieniężną

    Za niedopełnienie obowiązku informacyjnego Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożyła pierwszą karę w wysokości ponad 943 tys. zł.

  • 4.12.2014

    Prospekt informacyjny w świetle przepisów ustawy deweloperskiej

    Każdy deweloper, który rozpoczyna sprzedaż obowiązany jest sporządzić prospekt informacyjny dotyczący danego przedsięwzięcia deweloperskiego. Opracowanie tego dokumentu jest jednym z najważniejszych (...)

  • 25.7.2018

    Asystent medyczny wystawi e-zwolnienia

    Rządowy projekt zakłada, że od 1 października 2018 r. asystent medyczny w imieniu lekarza będzie mógł wystawiać e-zwolnienia.

  • 18.7.2017

    Kelner musi wydać paragon fiskalny klientowi

    W przypadku świadczenia usług gastronomicznych osobie fizycznej nieprowadzącej działalności gospodarczej istnieje obowiązek zaewidencjonowania tych usług na kasie fiskalnej. Kelner obsługujący (...)

  • 8.11.2017

    Kiedy będą kasy fiskalne on-line?

    Docelowym systemem będzie system kas rejestrujących umożliwiających przesył informacji do Centralnego Repozytorium Kas. Projekt przygotowany w resorcie finansów nie (...)