W przypadku, gdy podmiot zarządzający budynkiem weryfikuje tożsamość i utrwala dane osób wchodzących do tego budynku, musi spełnić obowiązki, jakie nakłada na niego RODO. Jak zaznacza Prezes Urzędu Ochrony Danych Osobowych, przede wszystkim powinien on zrealizować obowiązek informacyjny wynikający z art. 13 RODO.
Jak sygnalizuje Prezes UODO, częstym zjawiskiem jest pozyskiwanie danych osobowych od osób wchodzących na teren firm lub instytucji publicznych. Mimo tego administratorzy nie realizują obowiązku informacyjnego. W związku z tym Prezes UODO przypomina, że już na etapie gromadzenia danych osobowych podmioty danych powinny zostać poinformowane w szczególności o tym:
Odpowiednim rozwiązaniem jest tu zamieszczenie czytelnej klauzuli informacyjnej w miejscu odbierania danych, np. na kontuarze recepcyjnym lub tablicy umieszczonej tuż nad nim.
Formułując klauzulę informacyjną, należy zwrócić szczególną uwagę na podstawę przetwarzania danych. W niektórych sytuacjach podstawę tę może stanowićwykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO).
Ewidencja wejść i wyjść jest konieczna w celu realizacji zadań określonych w ustawie o zasadach zarządzania mieniem państwowym, gdzie dla zapewnienia bezpieczeństwa mienia możliwe jest stosowanie zabezpieczeń na terenie nieruchomości i w obiektach budowlanych stanowiących mienie państwowe (art. 5a ustawy o zasadach zarządzania mieniem państwowym). Innym przykładem może być ogólny obowiązek zapewnienia bezpieczeństwa w szkole ( art. 1 pkt 14 Prawa oświatowego).
Podstawą przetwarzania danych w związku z ewidencjonowaniem wejść i wyjść może być również konieczność wypełnienia obowiązku prawnego spoczywającego na administratorze (art. 6 ust. 1 lit. c RODO) np. obowiązku wynikającego z przepisów ustawy o ochronie informacji niejawnych w zakresie kontroli wejść i wyjść do lub z określonych stref ochronnych (art. 46 pkt. 1 ustawy o ochronie informacji niejawnych).
Poza tym zgodnie z art. 36 ust. 1 ustawy o ochronie osób i mienia pracownicy ochrony mogą przetwarzać dane osobowe osób wchodzących do budynku. Przesłanką przetwarzania danych osobowych w ewidencji wejść i wyjść jest wówczas prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).
Należy ustalić m.in. w jaki sposób dokonywana będzie weryfikacja tożsamości danej osoby, która zamierza wejść do budynku. Należy przy tym mieć na względzie obowiązywanie reguły minimalizacji danych z art. 5 ust. lit. c RODO. W świetle tej reguły (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO). Pozyskiwanie danych osobowych przez zarządców czy właścicieli budynków, będzie działaniem dopuszczalnym, jeżeli będzie ograniczone do niezbędnych danych, tj. obejmujących imię, nazwisko oraz numer dokumentu tożsamości wraz z jego nazwą. Poza tym zgodnie z zasadą ograniczenia przechowywania dane powinny być gromadzone przez okres nie dłuższy niż jest to niezbędne do celów, w których zostały zebrane (art. 5 ust. 1 lit. e RODO). Administrator przetwarzający dane osobowe w związku z ewidencjonowaniem wejść i wyjść powinien wprowadzić również odpowiednie rozwiązania zapewniające bezpieczeństwo przetwarzanych danych (art. 24 i art. 32 ust. 1 RODO).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
