Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO.
W sytuacji, gdy od osób wchodzących na teren firm prywatnych czy instytucji publicznych, wymaga się podania danych osobowych to osoby, których dane dotyczą powinny zostać poinformowane o swoich prawach już na etapie gromadzenia danych:
- kto przetwarza ich dane osobowe (art. 13 ust. 1 lit. a RODO),
- w jakim celu i na jakiej podstawie prawnej to robi (art. 13 ust. 1 lit. c RODO),
- kim są odbiorcy danych osobowych (art. 13 ust. 1 lit. e RODO),
- jaki jest okres przechowywania danych osobowych (art. 13 ust. 2 lit. a RODO),
- o prawie dostępu do danych (art. 13 ust. 2 lit. b RODO),
- o prawie do sprostowania danych (art. 13 ust. 2 lit. b RODO),
- o prawie do usunięcia lub ograniczenia przetwarzania danych (art. 13 ust. 2 lit. b RODO),
- o prawie do wniesienia sprzeciwu wobec przetwarzania danych (art. 13 ust. 2 lit. b RODO),
- o prawie do wniesienia skargi do UODO (art. 13 ust. 2 lit. d RODO).
Informacja dotycząca spełnienia przez administratora obowiązku informacyjnego wobec osoby wchodzącej na teren budynku musi być czytelna i powinna znajdować się w miejscu odbierania danych, tak żeby osoba mogła się bez problemu z nią zapoznać.
Prowadzenie ewidencji wejść i wyjść wymaga od administratora spełnienia obowiązków wynikających z przepisów o ochronie danych osobowych takich jak:
- Wypracowanie wewnętrznych procedur, w których określone zostaną zasady gromadzenia danych osobowych; w jaki sposób i jak długo dane będą przechowywane w związku z ewidencją; w jaki sposób dokonywana będzie weryfikacja tożsamości osób, która zamierza wejść do określonej przestrzeni.
- Administrator zobowiązany jest precyzyjnie określić zakres danych osobowych i przetwarzać jedynie takie dane, które są niezbędne do osiągnięcia zamierzonego celu (zasada „minimalizacji danych”, art. 5 ust. 1 lit. c RODO).
- Administrator powinien każdorazowo pamiętać o tzw. zasadzie „ograniczenia przechowywania”, czyli gromadzeniu danych przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są zebrane (art. 5 ust. 1 lit. e RODO). Innymi słowy – w sytuacji zrealizowania przez administratora zamierzonego celu, dane powinny zostać usunięte.
- Administrator powinien zagwarantować odpowiednie zabezpieczenie danych osobowych zawartych w ewidencji, w tym przed dostępem osób nieupoważnionych.
Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!
The post Ewidencjonowanie wejść i wyjść a obowiązek informacyjny appeared first on RODOprotektor.