Księgi wejść i wyjść oraz przepustki, a RODO

Systemy przepustkowe/ewidencje wejść i wyjść powszechnie stosowane są nie tylko przez urzędy lub inne podmioty publiczne, ale także przez część prywatnych przedsiębiorstw – zwłaszcza tam, gdzie w codziennej działalności wykorzystywany jest istotny majątek, a liczba osób „przewijających” się przez przedsiębiorstwo jest bardzo wysoka. Zapisywanie danych w księdze wejść i wyjść jest także standardem obiektach przeznaczonych na komercyjny wynajem powierzchni biurowych. Czynnikiem, który powoduje konieczność weryfikacji takiej procedury jako zgodnej z RODO jest pozyskiwanie danych osoby, której dane są pozyskiwane w celu zaewidencjonowania wejścia na teren obiektu.

Jako standard przyjmuje się poproszenie na recepcji osoby chcącej uzyskać dostęp o okazanie dowodu tożsamości, przy czym spisywane są takie informacje jak imię, nazwisko, numer dowodu tożsamości, data wizyty oraz jej cel (jako cel należy rozumieć adresata wizyty – może nim być konkretna firma działająca w biurowcu, dział, lub osoba, jeżeli obiekt jest zarządzany przez przedsiębiorcę lub urząd bezpośrednio).

Dlaczego trzeba stosować RODO do ewidencji wejść ?

Te informacje stanowią dane osobowe, zaś księgę/ewidencję w której te dane są zapisywane należy uznać za zbiór danych osobowych – tak uznał GIODO jeszcze na gruncie poprzedniej ustawy o ochronie danych osobowych z 1997 roku, między innymi w decyzjach GI-DEC-DS-251/04 [Link], GI-DEC-DS-116/03 [Link] oraz wyroku WSA w Warszawie  II SA/Wa 2499/04 [Link PDF]. Choć wspomniane decyzje i orzeczenia zapadły jeszcze na gruncie ustawy z 1997 roku, to należy zauważyć, że sama definicja zbioru danych nie zmieniła się, i RODO w art. 4 pkt 6 zawiera taką samą definicję.

Z faktu, że nie można do zbierania danych gości wyłączyć stosowalności RODO wynika, że administrator danych (w przypadku biurowca gdzie inne firmy wynajmują biura będzie to podmiot zarządzający budynkiem) musi spełnić obowiązek informacyjny określony przez art. 13 RODO, a by ten obowiązek spełnić, należy określić w szczególności cel, podstawę prawną i okres retencji danych.

Cel, podstawa, okres retencji i zakres danych

W przypadku celu – chodzi oczywiście o zapewnienie bezpieczeństwa na terenie obiektu.

W przypadku podstawy prawnej – tu już jest większe pole manewru, a le z pewnością należy wykluczyć zgodę na przetwarzanie danych, a to z tego powodu, że z samej istoty, zgoda jest dobrowolna (nie można uzależniać realizacji czynności, umowy od wyrażenia zgody), a więc gdyby administrator przyjął jako podstawę zgodę, czyli art. 6 ust. 1 lit. a musiałby godzić się z tym, że okazanie dowodu i spisanie danych byłoby tylko dla chętnych – co byłoby oczywiście rozwiązaniem absurdalnym, zupełnie niweczącym cel i sens całej procedury.

Bardziej odpowiednim rozwiązaniem będzie w tym przypadku powołanie się na uzasadniony interes administratora budynku (oraz innych osób w nim przebywających) polegający na zapewnieniu bezpieczeństwa na terenie obiektu – a więc art. 6 ust. 1 lit. f RODO. Przepis ten jest odpowiednikiem art. 23 ust. 1 pkt 5 ustawy z 1997 roku, który odnosił się do uzasadnionego interesu, a to właśnie ten przepis wskazywano jako właściwą podstawę prawną w decyzjach GIODO oraz orzeczeniach sądów administracyjnych (wyżej przytaczanych).

Podstawę prawną będzie stanowił albo uzasadniony interes, albo realizacja obowiązku wynikającego z przepisu prawa – dla tych podmiotów, które podlegają pod ustawę o ochronie informacji niejawnych i/lub tych, które podlegają pod ustawę o zasadach zarządzania mieniem państwowym – choć osobiście te podstawy wydają się „naciągane” pierwszym wyborem powinien być właśnie uzasadniony interes – z uwagi na utrwaloną linię orzeczniczą.

Co do okresu retencji – standardem jest przechowywanie tych ewidencji nie dłużej niż rok, po czym powinny one zostać zniszczone. Dodatkowo zaleca się, by bieżące ewidencje były na bieżąco archiwizowane (np. z okresu jednego miesiąca) – tak, by osoba na recepcji miała dostęp wyłącznie do tego, co jest jej realnie potrzebne.

Zakres danych – standardem jest imię, nazwisko, nr dowodu. Tu może pojawić się od razu pytanie – czy aby na pewno, skoro numeru dowodu nie ma prawa pozyskiwać nawet pracodawca od swojego pracownika (co do zasady)? Alternatywą jest zapisywania nr PESEL zamiast nr dowodu, ale potencjalne ryzyko dla podmiotu danych jest wtedy zwiększone, a nie zmniejszone – pamiętajmy, że specyfiką prowadzenia księgi wejść i wyjść jest jej bardzo ograniczone i zawężone wykorzystanie – tych danych nie można agregować w jakimkolwiek innym celu niż np. wyjaśnienie incydentu bezpieczeństwa który się w praktyce wydarzył, z tego względu należy uznać, że zasadą powinno być zapisywanie imienia, nazwiska i numeru dowodu tożsamości.

Należy oczywiście zawsze pamiętać, by klauzula informacyjna dla gości, których dane będą spisane była w widocznym miejscu na recepcji.