Strona głównaWażne informacje
Jeśli chcesz złożyć skargę Elektroniczna skrzynka podawcza Rejestracja krok po kroku Porady i wskazówki
Serwisy GIODO
Internetowy serwis edukacyjny GIODO
Rejestracja zbiorów i ogólnokrajowy rejestr w Internecie
Ważne informacje

Firmy mogą tworzyć księgi wejść i wyjść

Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak2009-07-24
Wprowadził informację: Robert Czapski2009-07-24 15:58:17
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:57:11

Instytucje mają prawo spisywać dane osób wchodzących do budynków, tworząc w ten sposób księgi wejść i wyjść – uważa Generalny Inspektor Ochrony Danych Osobowych.

Podmioty tworzące księgi wejść i wyjść powołują się na argument zapewnienia bezpieczeństwa osób pracujących w danym obiekcie, ochronę mienia, a często także bezpieczeństwo samych osób wchodzących do danego budynku. Taki rejestr danych osób pozwala kontrolować obecność każdej osoby w budynku, jak również ograniczyć wizyty tzw. osób niepożądanych.

Podstawy prawne

O ile więc przetwarzanie danych osobowych zawartych w księgach wejść i wyjść jest dokonywane w tych celach, to jest to zgodne z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Przepis ten zezwala bowiem na przetwarzanie danych osobowych, jeśli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Tworzenie księgi wejść i wyjść stanowi zatem prawnie usprawiedliwiony cel administratora danych, przy czym gromadzenie w nich danych osobowych musi odbywać się z jednoczesnym poszanowaniem praw osób, których te dane dotyczą.

Należy jednak zauważyć, iż istnieją sytuacje, w których administratorzy danych tworzą księgi wejść i wyjść na podstawie konkretnych przepisów prawa. Przykładem może być ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, której przepisy jednostkom organizacyjnym przetwarzającym informacje niejawne wprost nakazują stworzenie systemu kontroli wejść i wyjść, w celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych. Zatem do wypełnienia tego obowiązku niezbędne jest sprawdzenie tożsamości osób wchodzących do jednostki organizacyjnej, a więc ich legitymowanie, a co za tym idzie przetwarzanie ich danych osobowych.

Innymi przepisami uprawniającymi do tworzenia systemu kontroli osób, np. poprzez księgę wejść i wyjść, jest ustawa z dnia 28 marca 2003 r. o transporcie kolejowym oraz rozporządzenie Ministra Infrastruktury z dnia 14 lipca 2004 r. w sprawie szczegółowego zakresu działania oraz sposobu organizacji straży ochrony kolei. Na ich podstawie funkcjonariusze straży ochrony kolei mają prawo do legitymowania i przetwarzania danych osób znajdujących się w strefie obszaru kolejowego. Również ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia oraz rozporządzenie Rady Ministrów z dnia 18 listopada 1998 r. w sprawie szczegółowego trybu działań pracowników ochrony, podejmowanych wobec osób znajdujących się w granicach chronionych obiektów i obszarów, uprawniają pracowników ochrony do legitymowania osób, w celu ustalenia ich tożsamości oraz do ustalania uprawnień do przebywania na obszarach lub w obiektach chronionych.

Powołane przepisy legalizują przetwarzanie danych osobowych na potrzeby tworzenia księgi wejść i wyjść w oparciu o art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest legalne, o ile zezwala na to inny przepis prawa.

Zakres zbieranych informacji

Z tworzeniem księgi wejść i wyjść związana jest kwestia zakresu danych osobowych w niej gromadzonych. Na pewno jest on różny w zależności od potrzeb konkretnego administratora danych. Ale są w tej kwestii ogólne zasady, wynikające z ustawy o ochronie danych osobowych, których przestrzeganie dotyczy każdego administratora. W myśl bowiem art. 26 ust. 1 pkt 3 tej ustawy, administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a zwłaszcza jest obowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane. Gromadzenie danych osobowych w celu tworzenia księgi wejść i wyjść do budynku powinno obejmować tylko dane adekwatne do tego celu, czyli bez uzyskiwania zbyt szerokiego zakresu informacji o osobach. Zbierane dane powinny być także wykorzystywane tylko w tym celu, dla którego zostały zebrane, i nie mogą być poddawane dalszemu przetwarzaniu niezgodnemu z tym celem, np. nie można wykorzystywać tych danych do wysyłania różnego rodzaju korespondencji.

Czas przechowywania

Kolejną kwestią związaną z tworzeniem księgi wejść i wyjść jest czas przetwarzania zawartych w niej danych osobowych. Zgodnie z ogólnymi zasadami z ustawy o ochronie danych osobowych, dane powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej, niż jest to niezbędne dla osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt 4). Jest to generalna zasada, ale przykładowo można wskazać, iż Generalny Inspektor Ochrony Danych Osobowych dopuszcza w uzasadnionych sytuacjach możliwość przechowywania danych w księgach wejść i wyjść nie dłużej niż przez jeden rok.

Zwolnienie z rejestracji w GIODO

Następnym zagadnieniem dotyczącym księgi wejść i wyjść jest rejestracja powstałego w ten sposób zbioru danych. Bez wątpienia bowiem dane osobowe zawarte w księgach wejść i wyjść stanowią zbiory danych w rozumieniu ustawy o ochronie danych osobowych. Zbiory takie nie podlegają jednak rejestracji u Generalnego Inspektora Ochrony Danych Osobowych, ponieważ są zwolnione z rejestracji na podstawie art. 43 ust. 1 pkt 11ustawy. Stanowią one bowiem dane przetwarzane w zakresie drobnych, bieżących spraw życia codziennego, mających drugorzędne znaczenie dla administratora danych, niezwiązane z jego działalnością główną.

Właściwa ochrona danych

Kolejna kwestia dotyczy właściwego zabezpieczenia danych osobowych zawartych w księdze wejść i wyjść. Obowiązek ten spoczywa na administratorze danych. Ustawa o ochronie danych osobowych zobowiązuje go do dbałości o dane osobowe, a przepisy jej rozdziału 5 określają ogólne zasady ich zabezpieczania. Ustawa nakazuje zastosowanie środków technicznych i organizacyjnych, które zapewnią właściwą ochronę gromadzonym danym osobowym, tak, by nie dostały się one w ręce osób nieupoważnionych. Wybór odpowiednich środków gwarantujących przetwarzanym danym optymalny stopień zabezpieczenia pozostawia jednak do uznania konkretnemu administratorowi danych osobowych.


TS v1109.