Ewidencjonowanie wejść i wyjść a zasady spełnienia obowiązku informacyjnego

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO.

Prawa osób odwiedzających dane przedsiębiorstwo

W sytuacji, gdy od osób wchodzących na teren firm prywatnych czy instytucji publicznych, wymaga się podania danych osobowych to osoby, których dane dotyczą powinny zostać poinformowane o swoich prawach już na etapie gromadzenia danych:

  • kto przetwarza ich dane osobowe (art. 13 ust. 1 lit. a RODO),
  • w jakim celu i na jakiej podstawie prawnej to robi (art. 13 ust. 1 lit. c RODO),
  • kim są odbiorcy danych osobowych (art. 13 ust. 1 lit. e RODO),
  • jaki jest okres przechowywania danych osobowych (art. 13 ust. 2 lit. a RODO),
  • o prawie dostępu do danych (art. 13 ust. 2 lit. b RODO),
  • o prawie do sprostowania danych (art. 13 ust. 2 lit. b RODO),
  • o prawie do usunięcia lub ograniczenia przetwarzania danych (art. 13 ust. 2 lit. b RODO),
  • o prawie do wniesienia sprzeciwu wobec przetwarzania danych (art. 13 ust. 2 lit. b RODO),
  • o prawie do wniesienia skargi do UODO (art. 13 ust. 2 lit. d RODO).

Obowiązek informacyjny względem osób odwiedzających

Informacja dotycząca spełnienia przez administratora obowiązku informacyjnego wobec osoby wchodzącej na teren budynku musi być czytelna i powinna znajdować się w miejscu odbierania danych, tak żeby osoba mogła się bez problemu z nią zapoznać.

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Zasady prowadzenia ewidencji wejść i wyjść

Prowadzenie ewidencji wejść i wyjść wymaga od administratora spełnienia obowiązków wynikających z przepisów o ochronie danych osobowych takich jak:

  • Wypracowanie wewnętrznych procedur, w których określone zostaną zasady gromadzenia danych osobowych; w jaki sposób i jak długo dane będą przechowywane w związku z ewidencją; w jaki sposób dokonywana będzie weryfikacja tożsamości osób, która zamierza wejść do określonej przestrzeni.
  • Administrator zobowiązany jest precyzyjnie określić zakres danych osobowych i przetwarzać jedynie takie dane, które są niezbędne do osiągnięcia zamierzonego celu (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO).
  • Administrator powinien każdorazowo pamiętać o tzw. zasadzie „ograniczenia przechowywania”, czyli gromadzeniu danych przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są zebrane (art. 5 ust. 1 lit. e RODO). Innymi słowy – w sytuacji zrealizowania przez administratora zamierzonego celu, dane powinny zostać usunięte.
  • Administrator powinien zagwarantować odpowiednie zabezpieczenie danych osobowych zawartych w ewidencji, w tym przed dostępem osób nieupoważnionych.

Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość