Dbając o bezpieczeństwo, firmy mogą zbierać podpisy odwiedzających ich interesantów

Przedsiębiorstwa, w których funkcjonują rejestry osób je odwiedzających, powołują się na argument zapewnienia bezpieczeństwa pracującym w ich obiektach, na ochronę mienia, a często także na bezpieczeństwo samych osób wchodzących do danego budynku.

Nie jest to niezgodne z prawem – twierdzi Michał Serzycki, generalny inspektor ochrony danych osobowych.

[srodtytul]Legalne źródło wiedzy...[/srodtytul]

Wspomniana księga wejść i wyjść pozwala kontrolować obecność każdej osoby w budynku, jak również ograniczyć wizyty tzw. osób niepożądanych.

Jeśli więc przetwarzanie danych osobowych zawartych w księgach wejść i wyjść jest dokonywane w tych celach, jak podkreśla GIODO, to jest to zgodne z art. 23 ust. 1 pkt 5 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=539F3465901EE896B1B7A60CC096B8EC?id=166335]ustawy o ochronie danych osobowych[/link].

Przepis ten zezwala bowiem na przetwarzanie danych osobowych, jeśli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

A zatem [b]tworzenie księgi wejść i wyjść stanowi prawnie usprawiedliwiony cel administratora danych. Przy czym gromadzenie w nich danych osobowych musi się odbywać z jednoczesnym poszanowaniem praw osób, których te dane dotyczą[/b].

Należy jednak zauważyć, że [b]istnieją sytuacje, w których administratorzy danych są wprost zmuszeni przepisami do tworzenia takich rejestrów[/b]. I tak np. [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=42A07C708C4C79C5FEE928A5ED0896BE?id=179387]ustawa z 22 stycznia 1999 r. o ochronie informacji niejawnych[/link] taki obowiązek nakłada na jednostki organizacyjne przetwarzające informacje niejawne.

[srodtytul]... czasem konieczne[/srodtytul]

Jest to konieczne, aby uniemożliwić osobom nieuprawnionym dostęp do informacji niejawnych.

Do wypełnienia tego obowiązku niezbędne jest sprawdzenie tożsamości wchodzących do jednostki organizacyjnej, a więc ich legitymowanie, a co za tym idzie, przetwarzanie ich danych osobowych.

Także funkcjonariusze straży ochrony mają prawo do legitymowania i przetwarzania danych osób znajdujących się w strefie obszaru kolejowego (na podstawie [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=4D43B5EDE5CC354E9A450B68607A1C04?id=184757]ustawy z 28 marca 2003 r. o transporcie kolejowym[/link] oraz [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=06F72ECC5973D4BA7A76C596DF484640?id=174420]rozporządzenia ministra infrastruktury z 14 lipca 2004 r. w sprawie szczegółowego zakresu działania oraz sposobu organizacji Straży Ochrony Kolei[/link]).

Z tworzeniem księgi wejść i wyjść związana jest kwestia zakresu danych osobowych w niej gromadzonych. Na pewno jest on różny w zależności od potrzeb konkretnego administratora danych.

Ale są w tej kwestii ogólne zasady wynikające z ustawy o ochronie danych osobowych, których przestrzeganie dotyczy każdego administratora. W myśl bowiem art. 26 ust. 1 pkt 3 tej ustawy powinien on dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

[b]Gromadzenie takich informacji w celu tworzenia księgi wejść i wyjść do budynku powinno obejmować tylko dane adekwatne do tego celu.

A zatem nie można żądać zbyt wielu informacji o osobach odwiedzających daną instytucję.[/b] Zbierane dane powinny być także wykorzystywane tylko w tym celu, dla którego zostały zebrane, i nie mogą być poddawane dalszemu przetwarzaniu niezgodnemu z tym celem, np. nie można wykorzystywać tych danych do wysyłania różnego rodzaju korespondencji.

[ramka][b]Przykład[/b]

Firma, która spisywała dane każdego odwiedzającego ją klienta, chciała zarejestrować powstały w ten sposób zbiór danych u generalnego inspektora ochrony danych osobowych. Jednak zbiory takie nie podlegają tam rejestracji. Są z tego zwolnione na podstawie art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych.

Stanowią bowiem dane przetwarzane w zakresie drobnych, bieżących spraw życia codziennego, mających drugorzędne znaczenie dla administratora danych, niezwiązanych z jego działalnością główną.[/ramka]

[srodtytul]Bez wycieku[/srodtytul]

Uzyskane od klientów dane wskazane w rejestrze trzeba właściwie zabezpieczyć. Taki obowiązek spoczywa na administratorze danych, czyli w tym przypadku zarządzającym przedsiębiorstwem.

Przepisy nakazują zastosowanie takich środków technicznych i organizacyjnych, które zapewnią właściwą ochronę gromadzonych danych, tak by nie dostały się one w ręce osób nieupoważnionych.