Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

W wielu instytucjach publicznych, a także w firmach prywatnych częstą praktyką jest ewidencja wejść i wyjść oraz weryfikacja tożsamości, np. w postaci zbierania danych osobowych. W takim przypadku należy pamiętać również o spełnianiu przy tym obowiązku informacyjnego wynikającego z art 13 RODO.

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny
  • Rafał Stępniewski
  • /
  • 12 czerwca 2019

W wielu instytucjach publicznych, a także w firmach prywatnych częstą praktyką jest ewidencja wejść i wyjść oraz weryfikacja tożsamości, np. w postaci zbierania danych osobowych. W takim przypadku należy pamiętać również o spełnianiu przy tym obowiązku informacyjnego wynikającego z art 13 RODO.

Klauzula informacyjna

Zbierając i przetwarzając dane osobowe zgodnie z przepisami RODO, należy zadbać o to, by administratorzy spełniali swój podstawowy obowiązek, czyli obowiązek informacyjny. Goście odwiedzający instytucje powinni być poinformowani o tym:

  • kto przetwarza ich dane osobowe,

  • w jakim celu i na jakiej podstawie prawnej to robi,

  • kim są odbiorcy danych osobowych,

  • jaki jest okres przechowywania danych osobowych,

  • o prawie dostępu do danych,

  • o prawie do sprostowania danych,

  • o prawie do usunięcia lub ograniczenia przetwarzania danych,

  • o prawie do wniesienia sprzeciwu wobec przetwarzania danych,

  • o prawie do wniesienia skargi do UODO.

Spełnienie obowiązku informacyjnego nie wymaga, aby każdej wchodzącej i wychodzącej osobie dawać karteczkę z odpowiednią informacją.

Najlepszą i najwygodniejszą opcją jest po prostu umieszczenie czytelnej klauzuli w miejscu zbierania danych, np. na tablicy informacyjnej lub kontuarze recepcyjnym tak, aby każda osoba bez pośpiechu mogła się z nią zapoznać.

Kto jest administratorem zbieranych danych?

Odpowiedź nie jest jednoznaczna.

Można mieć do czynienia z sytuacją, gdzie wchodząc do budynku, w którym jest tylko jedna firma i pracownicy zajmują się rejestracją gości, to w takim przypadku administratorem jest ta firma, do której przyszliśmy.

Tak samo będzie w przypadku, gdy przedsiębiorstwo wynajmie firmę ochroniarską, której zleci realizację usługi rejestrowania odwiedzających. Firma ochroniarska będzie procesorem i będzie realizować zadania na polecenie administratora.

Możliwe jest również, aby administrator budynku wynajął ochronę, która ma zapewniać bezpieczeństwo. W takim przypadku administratorem danych będzie administrator budynku, który może udostępniać dane gości firmom przez nich odwiedzanych.

Można w ten sposób wskazać jeszcze kilka innych wariantów, co oznacza, że do każdej sytuacji należy podejść indywidualnie i przeanalizować powstałe zależności. Należy jednak pamiętać, że wszystkie te działania powinny być powiązane z zawarciem między stronami umów powierzenia przetwarzania danych osobowych.

Jeżeli jesteś administratorem danych lub IOD

możesz liczyć na nasze wsparcie w zakresie RODO w Twojej firmie

Cel przetwarzania danych osobowych

Mimo, że przepisy RODO nie przewidują wyjątków od spełniania obowiązku informacyjnego, poza sytuacją, w której osoba, której dane dotyczą zna już wszystkie informacje w nim zawarte, to podstawa prawna oraz cel przetwarzania danych osobowych może być różny dla różnych instytucji i zależy to od statusu administratora danych osobowych:

  • Firmy prywatne - cel przetwarzania danych może odbywać się na podstawie obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt 1 ustawy o ochronie informacji niejawnych) lub przepisy ustawy o ochronie osób i mienia dają pracownikom ochrony możliwość przetwarzania danych osób wchodzących do budynku lub na teren firmy (art. 36 ust. 1 ustawy o ochronie osób i mienia); przesłanką do przetwarzania danych osobowych może być prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

  • Urzędy i podmioty publiczne - dla takich instytucji przetwarzanie danych może okazać się niezbędne przy wykonywaniu zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO); dodatkowo zgodnie z artykułem 5a ustawy o zasadach zarządzania mieniem państwowym istnieje możliwość stosowania zabezpieczeń na terenie nieruchomości w obiektach budowlanych stanowiących mienie państwowe, by zapewnić bezpieczeństwo mienia.

  • Szkoły - z art. 1 pkt 14 ustawy prawo oświatowe wynika, że na terenie tych placówek ciąży ogólny obowiązek zapewnienia bezpieczeństwa, ponieważ zadaniem systemu oświaty jest zapewnienie bezpiecznych i higienicznych warunków nauki, wychowania i opieki.

Prowadząc ewidencję wejść i wyjść należy pamiętać o zasadzie minimalizacji danych, czyli dane osobowe muszą być adekwatne do celu, w jakim są przetwarzane. Zakres danych jest indywidualny i zależy od tego, jakiego rodzaju to placówka i kto jest administratorem danych osobowych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Czy ten artykuł był przydatny?

Kliknij aby wrócić do strony głównej
ISO 54001. Co to jest?
ISO

ISO 54001. Co to jest?

Na rynku istnieje wiele różnych norm zarządzania jakością, jakie dokładnie opisuje standard ISO. Jednym z nich jest norma 54001, z którą jednak nie spotykamy się zbyt często. Czym wyróżnia...

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!