Ewidencjonowanie wejść i wyjść a RODO

16 maja 2019 |

Wiele podmiotów weryfikuje tożsamość oraz utrwala dane osobowe osób wchodzących do budynków, zwłaszcza w siedzibach dużych firm czy w zakładach pracy. Warto podkreślić, że RODO nakłada na te podmioty szereg obowiązków. Zbieranie danych przy recepcji czy na bramkach, nie jest niczym innym jak przetwarzaniem danych osobowych. Dane są bowiem zbierane dla celu identyfikacji osób, tak więc nie sposób uznać że nie są to dane osobowe. 

 

Czy jednak administratorzy danych pamiętają chociażby o obowiązku informacyjnym ?

 

 

Obowiązek Informacyjny

 

Wprowadzając w budynkach ewidencję wejść i wyjść, administratorzy powinni pamiętać, że są zobowiązani do spełniania obowiązku informacyjnego wynikającego z art. 13 RODO. Przetwarzanie danych o tym, kto i kiedy wchodzi i wychodzi nie jest obowiązkiem administratorów budynku. Niemniej jednak,  jeżeli podmioty decydują się na taką ochronę bezpieczeństwa, to przetwarzanie danych osobowych w tym celu powinno odpowiadać wymogom określonym w przepisach o ochronie danych osobowych.

 

Osoby musza być  poinformowane już na etapie gromadzenia danych m.in. o tym:

  • kto przetwarza ich dane osobowe

  • w jakim celu i na jakiej podstawie prawnej to robi

  • kim są odbiorcy danych osobowych

  • jaki jest okres przechowywania danych osobowych

  • jakie prawa im przysługują (prawo dostępu do danych, sprostowania danych, usunięcia lub ograniczenia przetwarzania danych, wniesienia sprzeciwu wobec przetwarzania danych, wniesienia skargi do UODO)

 

Co ważne, Prezes Urzędu Ochrony Danych Osobowych alarmuje, że napływają do Niego informacje o tym, że od osób wchodzących na teren firm prywatnych czy instytucji publicznych wymaga się podawania danych osobowych, nie realizując przy tym podstawowego obowiązku informacyjnego.

 

Podkreślić należy, że RODO nie przewiduje wyjątków w tym zakresie. Każda osoba pozostawiająca na wejściu swoje dane osobowe powinna otrzymać obowiązek informacyjny. „Otrzymać” nie oznacza oczywiście konieczności wręczenia każdej osobie karteczki z obowiązkiem informacyjnym. Do obowiązku należy podjeść racjonalnie i praktycznie, pamiętając jednak o zasadzie rozliczalności. Rozwiązaniem jest przykładowo umieszczenie w widocznym miejscu tablicy z obowiązkiem informacyjnym.  Warto też wymagać od pracowników recepcji czy ochrony, aby przy zbieraniu danych wskazywali osobom fizycznym, gdzie zamieszczona jest tablica z treścią obowiązku informacyjnego. Pamiętać należy także o tym, że informacja powinna być czytelna!

 

Cel przetwarzania i zakres danych

 

Cel, a przy tym także podstawa do przetwarzania danych osobowych osób przebywających w budynkach, nie jest jednakowa dla wszystkich. Zależy to od statusu administratora danych osobowych.

 

  • Urzędy i podmioty publiczne- organy publiczne nie mogą opierać przetwarzania o prawnie uzasadniony interes (art. 6 ust. lit f RODO). Niemniej jednak przetwarzanie danych może okazać się niezbędne w dla wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Zgodnie z art. 5a  ustawy o zasadach zarządzania mieniem państwowym, dla zapewnienia bezpieczeństwa mienia możliwe jest stosowanie zabezpieczeń na terenie nieruchomości i w obiektach budowlanych stanowiących mienie państwowe.

  • Szkoły-  na nich ciąży ogólny obowiązek zapewnienia bezpieczeństwa na terenach placówki (art. 1 pkt 14 ustawy prawo oświatowe), bowiem system oświaty zapewnia utrzymywanie bezpiecznych i higienicznych warunków nauki, wychowania i opieki w szkołach i placówkach.

  • Firmy prywatne–w ich przypadku przetwarzanie danych odbywać się może na różnych podstawach.

    • Może być bowiem niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) np. obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt 1 ustawy o ochronie informacji niejawnych). Przepisy ustawy o ochronie osób i mienia dają podstawę pracownikom ochrony do przetwarzania danych osób wchodzących do budynku czy na teren przedsiębiorcy (art. 36 ust. 1 ustawy o ochronie osób i mienia).

    • Przesłanką przetwarzania danych osobowych w ewidencji wejść i wyjść może być także  prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

 

Wprowadzając weryfikację osób wchodzących do budynków należy także pamiętać o zasadzie minimalizacji danych. Dane osobowe muszą być bowiem adekwatne do celu w jakim są przetwarzane. Zakres danych zależy przy tym każdorazowo od tego, kto jest administratorem danych osobowych, czy jest to placówka publiczna, hotel czy zakład produkcyjny.

 

Nie tylko obowiązek informacyjny…

 

Obowiązki z RODO to nie tylko obowiązek informacyjny. Decyzja o  ewidencji wejść i wyjść rodzi po stronie administratora szereg innych obowiązków wynikających z przepisów o ochronie danych osobowych. Przykładowo:

 

  • Administrator musi wypracować wewnętrzne procedury, w których precyzyjnie określi, w jaki sposób będzie on gromadzić dane.

  • Administrator określa także  sposób i  długość przechowywania zebranych danych osobowych.

  • Administrator powinien określić zakres danych osobowych i przetwarzać jedynie takie dane, które są niezbędne do osiągnięcia zamierzonego celu (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO).

  • Zlecenie zbierania danych podmiotom zewnętrznym- np. zewnętrznej firmie ochroniarskiej- rodzi obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych.

  • Administrator musi zadbać o bezpieczeństwo zebranych i przetwarzanych danych, przy zastosowaniu odpowiedniej wiedzy technicznej.

 

Wprowadzając weryfikację tożsamości osób przebywających w budynku, czy to na podstawie własnej decyzji czy też z uwagi na nałożony prawem obowiązek, administrator danych osobowych powinien zatem mieć na uwadze ochronę danych osobowych oraz wypełniać obowiązki wynikające z RODO.

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ