Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Administratorzy danych, którzy ewidencjonują wejś­cia i wyjścia do budynków, a tym samym weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązani do spełnienia wobec nich obowiązku informacyjnego. Takie stanowisko zajął Urząd Ochrony Danych Osobowych w komunikacie zamieszczonym na swojej stronie internetowej .

W powołanym komunikacje Urząd Ochrony Danych Osobowych wskazuje, jakie obowiązki musi spełnić administrator danych, jeśli prowadzi ewidencję wejść i wyjść. Przede wszystkim administrator danych jest zobowiązany do spełnienia obowiązku informacyjnego.

Zgodnie z art. 13 RODO w momencie pozyskiwania danych administrator powinien przekazać osobie, której dane dotyczą, następujące informacje:

  • tożsamość administratora danych i jego dane kontaktowe,
  • dane kontaktowe inspektora ochrony danych, jeżeli został wyznaczony,
  • cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania danych osobowych,
  • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f – prawnie uzasadnione interesy realizowane
  • przez administratora lub przez stronę trzecią,
  • informacja o odbiorcach danych osobowych lub o kate­goriach odbiorców, jeżeli istnieją,
  • informacja o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji między­narodowej, jeżeli taka okoliczność występuje,
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
  • informacja o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • informacja o prawie do wniesienia skargi do organu nadzorczego,
  • informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Dodatkowo, odnosząc się do obowiązku informacyjnego w motywach RODO (58 i 60), wskazano, że zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach dodatkowo wizualizowane. Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych.
 

Ważne!

Ze względu na fakt, że przekazanie informacji wymaganych w art. 13 RODO powinno nastąpić w chwili zbierania danych, to prowadząc ewidencję wejść i wyjść, admi­nistrator danych powinien umieścić w widocznym miejscu klauzę informacyjną, tak aby osoba wchodząca do budynku w momencie przekazywania swoich dnach osobowych mogła się z nią zapoznać.

Taką klauzulę informacyjną można np. wywiesić w recepcji lub w innym punkcie, w którym odnotowuje się wejścia i wyjścia z budynku.

Ważne jest jednak, żeby klauzula informacyjna znajdowała się w widocznym miejscu. Co więcej, osoba prowadząca ewidencję może zwrócić na nią uwagę osoby, która przekazuje swoje dane albo wprost poprosić o zapoznanie się z treścią tej klauzuli

 

Wskazówka!

W swoich wytycznych Grupa Robocza art. 29 wskazała, że obowiązek informacyjny może zostać spełniony w sposób tzw. warstwowy. Oznacza to, że w pierwszej kolejności należy przekazać informacje o tożsamości administratora, celu przetwarzania danych osobowych oraz o prawach przysługujących osobie, której dane dotyczą, a dopiero w drugiej „warstwie” przekazać pełną klauzulę informacyjną zawierającą wszystkie wymagane w art. 13 RODO informacje.

W przypadku takiego rozwiązania można w pierwszej kolejności przekazać osobie wchodzącej do budynku „skróconą” klauzulę informacyjną, a dopiero potem odesłać ją do pełnej treści takiej klauzuli.

Trzeba jednak pamiętać, że bez względu na to, czy administrator danych zdecyduje się na przekazanie wszystkich informacji od razu, czy też będzie je przekazywał warstwowo, musi pamiętać o spełnieniu warunku przejrzystości tych informacji. Jeżeli administrator danych wybierze „warstwowe” spełnienie obowiązku informacyjnego, musi pamiętać o tym, że przekazanie pełnej klauzuli informacyjnej powinno nastąpić w niedużej odległości czasowej od przekazania pierwszej „warstwy” informacji. Stąd wydaje się, że w przypadku ewidencji wejść i wyjść bardziej przejrzyste będzie przekazanie od razu całej klauzuli informacyjnej. Może się jednak zdarzyć tak, że z uwagi np. na dużą liczbę osób wchodzących w jednym czasie nie będą one mogły zapoznać się w całości z klauzulą informacyjną i bardziej przejrzyste okaże się „warstwowe” spełnienie obowiązku informacyjnego.

Należy zatem indywidualnie rozstrzygnąć, które rozwiązanie będzie najbardziej adekwatne do sytuacji administratora danych.


Koleją ważną kwestią dotyczącą spełnienia obowiązku informacyjnego w związku z prowadzaną ewidencją wejść i wyjść, na którą zwraca uwagę Urząd Ochrony Danych Osobowych, jest kwestia wskazania w klauzuli informacyjnej podstawy prawnej jej prowadzenia. Ewidencja wejść i wyjść prowadzona w celu zapewnienia bezpieczeństwa osób znajdujących się w budynku lub ochrony znajdującego się w nim mienia może opierać się na różnych podstawach prawnych. W takim przypadku prowadzenie ewidencji wejść i wyjść będzie opierało się na przesłance prawnej uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO).

Jak wskazuje Urząd Ochrony Danych Osobowych w powołanym wyżej komunikacie[1], przedmiotowa ewidencja może być prowadzona w celu wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO). Jako przykład takiego działania Urząd podaje ogólny obowiązek zapewnienia bezpieczeństwa w szkole (art. 1 pkt 14 ustawy Prawo oświatowe). Inną podstawą prawną uzasadniającą prowadzenie takiej ewidencji może być art. 6 ust. 1 lit. c RODO, który dopuszcza przetwarzanie danych, jeśli jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Jako przykład Urząd podał obowiązek wynikający z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do/z określonych stref ochronnych (art. 46 pkt 1 ustawy o ochronie informacji niejawnych).

 

Ważne!

Przygotowując klauzulę informacyjną dotyczącą ewidencji wejść i wyjść, należy dokładnie określić podstawę prawną, na której administrator danych zamierza oprzeć ten rodzaj przetwarzania danych osobowych.

Jest to o tyle istotne, że wybrana podstawa prawna będzie determinowała dalsze zapisy w klauzuli informacyjnej, gdyż administrator danych, opierając się na podstawie prawnej prowadzenia przedmiotowej ewidencji, będzie mógł ustalić np. okres przechowywania tych danych osobowych.

Jeżeli bowiem administrator danych opiera prowadzenie ewidencji wejść i wyjść na przepisach konkretnej ustawy, to w jej zapisach sprawdza, czy nie ma szczegółowych przepisów, które np. określałby czas przechowywania tego rodzaju danych osobowych.

Natomiast jeśli administrator danych opiera prowadzenie ewidencji wejść i wyjść na prawnie uzasadnionym interesie, czyli art. 6 ust. 1 lit. f RODO, administrator powinien przechowywać dane przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane, a zatem szczegółowy okres ich przechowywania musi zostać określony przez administratora danych.


Urząd Ochrony Danych Osobowych w powołanym komunikacie[2] zwraca też uwagę na fakt, że administrator danych powinien także szczegółowo ustalić procedury dotyczące weryfikacji tożsamości osób, które będą wchodzić do budynku lub innej wyznaczonej strefy. Urząd zauważył również, że zgodnie z zasadą minimalizacji danych admi­nistrator danych powinien przetwarzać dane osobowe w zakresie adekwatnym, stosownym i ograniczonym do tego, co niezbędne do realizacji celów, w których dane zostały mu przekazane. Urząd wprost wskazuje, że w przypadku prowadzenia ewidencji wejść i wyjść przez zarządców czy właścicieli budynków zakres przetwarzanych przez nich danych powinien obejmować: imię, nazwisko oraz numer dokumentu tożsamości wraz z jego nazwą.

Ponadto Urząd podkreśla także, że administrator danych prowadzący ewidencję wejść i wyjść jest zobowiązany do zabezpieczenia zawartych w niej danych osobowych zgodnie z zasadami wskazami w art. 24 i 32 RODO. Oznacza to, że administrator wdraża odpowiednie środki techniczne i organizacyjne, uwzględniając stan wiedzy technicz­nej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, tak aby zapewnić stopień bezpieczeństwa odpowiadający ustalonemu w przeprowadzonej analizie ryzyku.

 

Ważne!

Wprowadzając ewidencję wejść i wyjść, administrator danych powinien zadbać przede wszystkim o spełnienie obowiązku informacyjnego wobec osób, od których będzie zbierał dane osobowe.

Konieczne jest ustalenie wszystkich informacji, które będą ujęte w przedmiotowej klauzuli, w tym zakres gromadzonych danych, sposób ich pozyskiwania oraz okres ich przechowywania.

Dodatkowo administrator danych powinien wdrożyć odpowiednie procedury w zakresie sposobu przekazywania klauzuli informacyjnej, weryfikacji tożsamości osób wpisywanych do tej ewidencji, jak również środków wdrożonych w celu zabezpieczenia danych osobowych zawartych w przedmiotowej ewidencji.


[1]  //uodo.gov.pl/pl/138/883
[2]  //uodo.gov.pl/pl/138/883