Zobacz inne artykuły:
zdjecie_aktualnosci
E-doręczenia w jednostkach oświatowych – od 1 stycznia 2025 r.
zdjecie_aktualnosci
Kontrola planowa realizacji zadań z zakresu doradztwa zawodowego w szkołach podstawowych – jak się do niej przygotować?
zdjecie_aktualnosci
Informacja MEN ws. realizacji programu Podróże z Klasą na terenach dotkniętych powodzią


Ewidencjonowanie wejść i wyjść a obowiązek informacyjny
zdjecie_aktualnosci

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak ma następować, to przetwarzanie danych osobowych w tym celu musi odpowiadać wymogom określonym w przepisach o ochronie danych osobowych.

Do Prezesa UODO napływają informacje o tym, że od osób wchodzących na teren firm prywatnych czy instytucji publicznych wymaga się podawania danych osobowych, nie realizując przy tym jednego z podstawowych obowiązków administratora, jakim jest informowanie osób o przetwarzaniu dotyczących ich danych. Tymczasem w takich sytuacjach osoby te powinny zostać poinformowane już na etapie gromadzenia danych m.in.:

  • kto przetwarza ich dane osobowe (art. 13 ust. 1 pkt a RODO)
  • w jakim celu i na jakiej podstawie prawnej to robi (art. 13 ust. 1 pkt c RODO)
  • kim są odbiorcy danych osobowych (art. 13 ust. 1 pkt e RODO)
  • jaki jest okres przechowywania danych osobowych (art. 13 ust. 2 pkt a RODO)
  • o prawie dostępu do danych (art. 13 ust. 2 pkt b RODO)
  • o prawie do sprostowania danych (art. 13 ust. 2 pkt b RODO)
  • o prawie do usunięcia lub ograniczenia przetwarzania danych (art. 13 ust. 2 pkt b RODO)
  • o prawie do wniesienia sprzeciwu wobec przetwarzania danych (art. 13 ust. 2 pkt b RODO)
  • o prawie do wniesienia skargi do UODO (art. 13 ust. 2 pkt d RODO).

Informacja (klauzula informacyjna) dotycząca spełnienia przez administratora obowiązku informacyjnego wobec osoby wchodzącej na teren budynku musi być czytelna i znajdować się w miejscu odbierania danych, tak żeby osoba mogła się bez problemu z nią zapoznać np. na kontuarze recepcyjnym lub tablicy umieszczonej tuż nad nim.

Prowadzenie ewidencji wejść i wyjść w celu np. zapewnienia bezpieczeństwa osób przebywających w budynku lub znajdującego się w budynku mienia może dotyczyć wielu administratorów, realizujących to zadanie na podstawie różnych przepisów prawa. W określonych przypadkach, przetwarzanie danych może być niezbędne w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Przykładem zadań, 
o których mowa w tej przesłance są zadania określone w ustawie o zasadach zarządzania mieniem państwowym, gdzie dla zapewnienia bezpieczeństwa mienia możliwe jest stosowanie zabezpieczeń na terenie nieruchomości i w obiektach budowlanych stanowiących mienie państwowe (art. 5a ustawy o zasadach zarządzania mieniem państwowym). Innym przykładem może być ogólny  obowiązek zapewnienia bezpieczeństwa w szkole ( art. 1 pkt 14 ustawy prawo oświatowe), który wskazuje, iż system oświaty zapewnia utrzymywanie bezpiecznych i higienicznych warunków nauki, wychowania i opieki w szkołach i placówkach. W innych przypadkach, przetwarzanie danych może być niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) np. obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt. 1 ustawy o ochronie informacji niejawnych). Przepisy ustawy o ochronie osób i mienia dają podstawę pracownikom ochrony do przetwarzania danych osób wchodzących do budynku czy na teren przedsiębiorcy (art. 36 ust. 1 ustawy o ochronie osób i mienia). Przesłanką przetwarzania danych osobowych w ewidencji wejść i wyjść może być także  prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).

Wprowadzenie ewidencji wejść i wyjść rodzi również po stronie administratora szereg innych obowiązków wynikających z przepisów o ochronie danych osobowych. Administrator musi wypracować wewnętrzne procedury, w których precyzyjnie określi, w jaki sposób będzie on gromadzić, a następnie w jaki sposób i jak długo  - przechowywać dane osobowe w związku z przedmiotową ewidencją. Starannego przemyślenia wymaga również ustalenie, w jaki sposób dokonywana będzie weryfikacja tożsamości danej osoby, która zamierza wejść do określonej przestrzeni. Administrator zobowiązany jest precyzyjnie określić zakres danych osobowych i przetwarzać jedynie takie dane, które są niezbędne do osiągnięcia zamierzonego celu (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO). Pozyskiwanie danych osobowych przez zarządców czy właścicieli budynków, będzie działaniem dopuszczalnym, jeżeli będzie ograniczone do niezbędnych danych, tj. obejmujących imię, nazwisko oraz numer dokumentu tożsamości wraz z jego nazwą.

Administrator powinien każdorazowo pamiętać o tzw. zasadzie „ograniczenia przechowywania”, czyli gromadzeniu danych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są zebrane (art. 5 ust. 1 lit. e RODO). Innymi słowy, w sytuacji zrealizowania przez administratora zamierzonego celu, dane powinny zostać usunięte.

Niezmiernie istotne jest również zagwarantowanie odpowiedniego zabezpieczenia danych osobowych zawartych w ewidencji, w tym przed dostępem osób nieupoważnionych przez administratora. Administrator lub podmiot przetwarzający zobowiązany jest bowiem - uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia - wdrożyć i zapewnić skuteczne funkcjonowanie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa danym osobowym (art. 24 i art. 32 ust. 1 RODO). Innymi słowy administrator ma  obowiązek zorganizowania bezpieczeństwa procesu przetwarzania danych osobowych, w sposób odpowiadający obowiązującym przepisom w zakresie przetwarzania danych osobowych i  dokonania tego w taki sposób, który odpowiadał będzie zagrożeniom oraz kategoriom przetwarzanych danych.

 

Źródło:

https://uodo.gov.pl/pl/138/883

ECRK s.c.
ul. Elektryczna 1/3 lok. 216
15-080, Białystok
Oddział Warszawa:
ul. Kabacki Dukt 18/7
 
Telefony

logo