Pytanie użytkownika LEX Ochrona Danych Osobowych: Biuro pracuje w ograniczonym zakresie ze względu na zagrożenie koronawirusem, tzn. przyjmuje klientów tylko pojedynczo i w jednym pomieszczeniu. Czy pracownik ochrony (ze względu na stan epidemiczny) może osoby, które odwiedzają biuro, rejestrować z imienia i nazwiska oraz adresu zamieszkania? Jaka będzie podstawa prawna przetwarzania tych danych osobowych i czy trzeba od tych osób pobierać zgodę na przetwarzanie danych osobowych, a może wystarczy spełnienie obowiązku informacyjnego?

Odpowiedź

Prowadzenie rejestru gości jest jedną z metod zapewniania bezpieczeństwa na terenie zakładu pracy, nie tylko ze względu na wskazaną w pytaniu przyczynę, ale także ze względu na ochronę mienia i osób w przypadku kradzieży, czy pożaru (wiadomo, kto w danym momencie znajduje się w biurze).

Przesłanką legalizującą przetwarzanie danych w tym celu jest prawnie uzasadniony interes administratora, tzn. art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych (RODO).

 


Cel zbierania danych - jakie dane pozyskać

Jedyną kwestią wymagającą rozważenia jest adekwatność wskazanego zakresu danych do celu przetwarzania. To znaczy, w jakim celu administrator chce uzyskać adres zamieszkania gościa i czy faktycznie jest to niezbędne i adekwatne do celu przetwarzania (art. 5 RODO). Zbieranie danych na zapas będzie wykraczało poza prawnie usprawiedliwiony interes administratora. Z pewnością adekwatne jest gromadzenie informacji o imieniu i nazwisku gościa. Jeżeli administrator chce gromadzić dane kontaktowe na wypadek stwierdzenia w swoim zakładzie pracy zarażenia koronawirusem, aby mieć możliwość powiadomienia gości o możliwym zagrożeniu, bardziej adekwatne wydaje się uzyskanie danych kontaktowych, np. numeru telefonu lub adresu e-mail. Dane kontaktowe powinny być jednak gromadzone za zgodą gościa, tzn. powinien mieć on prawo odmowy.

Przygotowanie klauzuli informacyjnej

Odnosząc się do kwestii technicznych związanych z takim działaniem, z pewnością należy przygotować klauzulę informacyjną. W mojej ocenie należy wskazać dwie podstawy prawne, tzn. art. 6 ust. 1 lit. f RODO w zakresie imienia oraz nazwiska, a art. 6 ust. 1 lit. a RODO w zakresie innych danych. Można wskazać w klauzuli, że podanie dodatkowych danych podczas rejestracji jest równoważne ze zgodą na ich przetwarzanie. Należy także zapewnić poufność gromadzonych danych, tzn. kolejni goście nie powinni widzieć ani słyszeć danych osobowych poprzednich. Pracownik ochrony może spisać gościa z dowodu osobistego lub umożliwić mu samodzielne wpisanie się do książki wejść, o ile dane poprzednich gości zostaną zasłonięte.