Ewidencjonowanie wejść i wyjść a obowiązek informacyjny
W wielu instytucjach publicznych, a także w firmach prywatnych częstą praktyką jest ewidencja wejść i wyjść oraz weryfikacja tożsamości, np. w postaci zbierania danych osobowych. W takim przypadku należy pamiętać również o spełnianiu przy tym obowiązku informacyjnego wynikającego z art 13 RODO.
- Rafał Stępniewski
- /
- 12 czerwca 2019
W wielu instytucjach publicznych, a także w firmach prywatnych częstą praktyką jest ewidencja wejść i wyjść oraz weryfikacja tożsamości, np. w postaci zbierania danych osobowych. W takim przypadku należy pamiętać również o spełnianiu przy tym obowiązku informacyjnego wynikającego z art 13 RODO.
Klauzula informacyjna
Zbierając i przetwarzając dane osobowe zgodnie z przepisami RODO, należy zadbać o to, by administratorzy spełniali swój podstawowy obowiązek, czyli obowiązek informacyjny. Goście odwiedzający instytucje powinni być poinformowani o tym:
-
kto przetwarza ich dane osobowe,
-
w jakim celu i na jakiej podstawie prawnej to robi,
-
kim są odbiorcy danych osobowych,
-
jaki jest okres przechowywania danych osobowych,
-
o prawie dostępu do danych,
-
o prawie do sprostowania danych,
-
o prawie do usunięcia lub ograniczenia przetwarzania danych,
-
o prawie do wniesienia sprzeciwu wobec przetwarzania danych,
-
o prawie do wniesienia skargi do UODO.
Spełnienie obowiązku informacyjnego nie wymaga, aby każdej wchodzącej i wychodzącej osobie dawać karteczkę z odpowiednią informacją.
Najlepszą i najwygodniejszą opcją jest po prostu umieszczenie czytelnej klauzuli w miejscu zbierania danych, np. na tablicy informacyjnej lub kontuarze recepcyjnym tak, aby każda osoba bez pośpiechu mogła się z nią zapoznać.
Kto jest administratorem zbieranych danych?
Odpowiedź nie jest jednoznaczna.
Można mieć do czynienia z sytuacją, gdzie wchodząc do budynku, w którym jest tylko jedna firma i pracownicy zajmują się rejestracją gości, to w takim przypadku administratorem jest ta firma, do której przyszliśmy.
Tak samo będzie w przypadku, gdy przedsiębiorstwo wynajmie firmę ochroniarską, której zleci realizację usługi rejestrowania odwiedzających. Firma ochroniarska będzie procesorem i będzie realizować zadania na polecenie administratora.
Możliwe jest również, aby administrator budynku wynajął ochronę, która ma zapewniać bezpieczeństwo. W takim przypadku administratorem danych będzie administrator budynku, który może udostępniać dane gości firmom przez nich odwiedzanych.
Można w ten sposób wskazać jeszcze kilka innych wariantów, co oznacza, że do każdej sytuacji należy podejść indywidualnie i przeanalizować powstałe zależności. Należy jednak pamiętać, że wszystkie te działania powinny być powiązane z zawarciem między stronami umów powierzenia przetwarzania danych osobowych.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Cel przetwarzania danych osobowych
Mimo, że przepisy RODO nie przewidują wyjątków od spełniania obowiązku informacyjnego, poza sytuacją, w której osoba, której dane dotyczą zna już wszystkie informacje w nim zawarte, to podstawa prawna oraz cel przetwarzania danych osobowych może być różny dla różnych instytucji i zależy to od statusu administratora danych osobowych:
-
Firmy prywatne - cel przetwarzania danych może odbywać się na podstawie obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt 1 ustawy o ochronie informacji niejawnych) lub przepisy ustawy o ochronie osób i mienia dają pracownikom ochrony możliwość przetwarzania danych osób wchodzących do budynku lub na teren firmy (art. 36 ust. 1 ustawy o ochronie osób i mienia); przesłanką do przetwarzania danych osobowych może być prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).
-
Urzędy i podmioty publiczne - dla takich instytucji przetwarzanie danych może okazać się niezbędne przy wykonywaniu zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO); dodatkowo zgodnie z artykułem 5a ustawy o zasadach zarządzania mieniem państwowym istnieje możliwość stosowania zabezpieczeń na terenie nieruchomości w obiektach budowlanych stanowiących mienie państwowe, by zapewnić bezpieczeństwo mienia.
-
Szkoły - z art. 1 pkt 14 ustawy prawo oświatowe wynika, że na terenie tych placówek ciąży ogólny obowiązek zapewnienia bezpieczeństwa, ponieważ zadaniem systemu oświaty jest zapewnienie bezpiecznych i higienicznych warunków nauki, wychowania i opieki.
Prowadząc ewidencję wejść i wyjść należy pamiętać o zasadzie minimalizacji danych, czyli dane osobowe muszą być adekwatne do celu, w jakim są przetwarzane. Zakres danych jest indywidualny i zależy od tego, jakiego rodzaju to placówka i kto jest administratorem danych osobowych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?