Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

W wielu instytucjach publicznych, a także w firmach prywatnych częstą praktyką jest ewidencja wejść i wyjść oraz weryfikacja tożsamości, np. w postaci zbierania danych osobowych. W takim przypadku należy pamiętać również o spełnianiu przy tym obowiązku informacyjnego wynikającego z art 13 RODO.

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Katarzyna Grum

12 czerwca 2019

W wielu instytucjach publicznych, a także w firmach prywatnych częstą praktyką jest ewidencja wejść i wyjść oraz weryfikacja tożsamości, np. w postaci zbierania danych osobowych. W takim przypadku należy pamiętać również o spełnianiu przy tym obowiązku informacyjnego wynikającego z art 13 RODO.

Klauzula informacyjna

Zbierając i przetwarzając dane osobowe zgodnie z przepisami RODO, należy zadbać o to, by administratorzy spełniali swój podstawowy obowiązek, czyli obowiązek informacyjny. Goście odwiedzający instytucje powinni być poinformowani o tym:

  • kto przetwarza ich dane osobowe,

  • w jakim celu i na jakiej podstawie prawnej to robi,

  • kim są odbiorcy danych osobowych,

  • jaki jest okres przechowywania danych osobowych,

  • o prawie dostępu do danych,

  • o prawie do sprostowania danych,

  • o prawie do usunięcia lub ograniczenia przetwarzania danych,

  • o prawie do wniesienia sprzeciwu wobec przetwarzania danych,

  • o prawie do wniesienia skargi do UODO.

Spełnienie obowiązku informacyjnego nie wymaga, aby każdej wchodzącej i wychodzącej osobie dawać karteczkę z odpowiednią informacją.

Najlepszą i najwygodniejszą opcją jest po prostu umieszczenie czytelnej klauzuli w miejscu zbierania danych, np. na tablicy informacyjnej lub kontuarze recepcyjnym tak, aby każda osoba bez pośpiechu mogła się z nią zapoznać.

Kto jest administratorem zbieranych danych?

Odpowiedź nie jest jednoznaczna.

Można mieć do czynienia z sytuacją, gdzie wchodząc do budynku, w którym jest tylko jedna firma i pracownicy zajmują się rejestracją gości, to w takim przypadku administratorem jest ta firma, do której przyszliśmy.

Tak samo będzie w przypadku, gdy przedsiębiorstwo wynajmie firmę ochroniarską, której zleci realizację usługi rejestrowania odwiedzających. Firma ochroniarska będzie procesorem i będzie realizować zadania na polecenie administratora.

Możliwe jest również, aby administrator budynku wynajął ochronę, która ma zapewniać bezpieczeństwo. W takim przypadku administratorem danych będzie administrator budynku, który może udostępniać dane gości firmom przez nich odwiedzanych.

Można w ten sposób wskazać jeszcze kilka innych wariantów, co oznacza, że do każdej sytuacji należy podejść indywidualnie i przeanalizować powstałe zależności. Należy jednak pamiętać, że wszystkie te działania powinny być powiązane z zawarciem między stronami umów powierzenia przetwarzania danych osobowych.

Cel przetwarzania danych osobowych

Mimo, że przepisy RODO nie przewidują wyjątków od spełniania obowiązku informacyjnego, poza sytuacją, w której osoba, której dane dotyczą zna już wszystkie informacje w nim zawarte, to podstawa prawna oraz cel przetwarzania danych osobowych może być różny dla różnych instytucji i zależy to od statusu administratora danych osobowych:

  • Firmy prywatne - cel przetwarzania danych może odbywać się na podstawie obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt 1 ustawy o ochronie informacji niejawnych) lub przepisy ustawy o ochronie osób i mienia dają pracownikom ochrony możliwość przetwarzania danych osób wchodzących do budynku lub na teren firmy (art. 36 ust. 1 ustawy o ochronie osób i mienia); przesłanką do przetwarzania danych osobowych może być prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

  • Urzędy i podmioty publiczne - dla takich instytucji przetwarzanie danych może okazać się niezbędne przy wykonywaniu zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO); dodatkowo zgodnie z artykułem 5a ustawy o zasadach zarządzania mieniem państwowym istnieje możliwość stosowania zabezpieczeń na terenie nieruchomości w obiektach budowlanych stanowiących mienie państwowe, by zapewnić bezpieczeństwo mienia.

  • Szkoły - z art. 1 pkt 14 ustawy prawo oświatowe wynika, że na terenie tych placówek ciąży ogólny obowiązek zapewnienia bezpieczeństwa, ponieważ zadaniem systemu oświaty jest zapewnienie bezpiecznych i higienicznych warunków nauki, wychowania i opieki.

Prowadząc ewidencję wejść i wyjść należy pamiętać o zasadzie minimalizacji danych, czyli dane osobowe muszą być adekwatne do celu, w jakim są przetwarzane. Zakres danych jest indywidualny i zależy od tego, jakiego rodzaju to placówka i kto jest administratorem danych osobowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2020
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!