W związku z wprowadzeniem na terytorium całego kraju drugiego stopnia alarmowego (BRAVO) i trzeciego stopnia alarmowego CRP (CHARLIE–CRP), które na tą chwilę będą obowiązywały do 30 kwietnia 2022 r. do godz. 23:59, w gryfickim urzędzie należy wpisywać się do książki.
Co prawda do zadań w przypadku stopnia BRAWO należy między innymi:
- prowadzenie przez Policję, Straż Graniczną lub Żandarmerię Wojskową wzmożonej kontroli dużych skupisk ludzkich;
- prowadzenie wzmożonej kontroli obiektów użyteczności publicznej oraz innych obiektów potencjalnie mogących stać się celem ataków terrorystycznych, ale nie mówi się tutaj o wpisywaniu do księgi w holu urzędu, gdzie każdy ma dostęp. Czy jest to zgodne z RODO?
Tak o decyzji wyłożenia księgi mówi dla jednego z lokalnych portali Waldemar Wawrzyniak – wicestarosta Powiatu Gryfickiego.
– Wychodzimy powoli z covidu, a nasze wszystkie wydziały pracują już normalnie. Są jednak pewne obostrzenia ze względu na to, że zostały wprowadzone stopnie podwyższonej gotowości oraz inne zabezpieczenia związane z cyberatakami i poruszaniem się po urzędzie. Chcę poinformować, że na dole została wyłożona księga wejść i trzeba się do niej wpisać. Trzeba się wpisać ze względów bezpieczeństwa, bo takie są wytyczne rozporządzenia pana premiera. Jest podwyższony stopień bezpieczeństwa, dlatego należy monitorować, kto do danego urzędu wchodzi. Wystarczy więc podać imię i nazwisko oraz wskazać, gdzie się idzie. Te działania są związane nie tylko z wojną na Ukrainie, ale też tym, kto przyjeżdża do Polski. Mamy okres świąteczny, niebawem będą święta prawosławne, dlatego ze względu na podwyższony stopień bezpieczeństwa podjęliśmy takie kroki. Przy wschodniej granicy jest o wiele większy ruch, słyszy się o szpiegach. Dzisiaj trzeba mieć oczy otwarte.
A tak na ten temat mówi RBDO czyli Rejestracja i Bezpieczeństwo Danych Osobowych.
Te informacje stanowią dane osobowe, zaś księgę/ewidencję w której te dane są zapisywane należy uznać za zbiór danych osobowych – tak uznał GIODO jeszcze na gruncie poprzedniej ustawy o ochronie danych osobowych z 1997 roku, między innymi w decyzjach GI-DEC-DS-251/04, GI-DEC-DS-116/03 oraz wyroku WSA w Warszawie II SA/Wa 2499/04. Choć wspomniane decyzje i orzeczenia zapadły jeszcze na gruncie ustawy z 1997 roku, to należy zauważyć, że sama definicja zbioru danych nie zmieniła się, i RODO w art. 4 pkt 6 zawiera taką samą definicję.
Z faktu, że nie można do zbierania danych gości wyłączyć stosowalności RODO wynika, że administrator danych (w przypadku biurowca gdzie inne firmy wynajmują biura będzie to podmiot zarządzający budynkiem) musi spełnić obowiązek informacyjny określony przez art. 13 RODO, aby ten obowiązek spełnić, należy określić w szczególności cel, podstawę prawną i okres retencji danych.
Podstawę prawną będzie stanowił albo uzasadniony interes, albo realizacja obowiązku wynikającego z przepisu prawa – dla tych podmiotów, które podlegają pod ustawę o ochronie informacji niejawnych i/lub tych, które podlegają pod ustawę o zasadach zarządzania mieniem państwowym – choć osobiście te podstawy wydają się „naciągane” pierwszym wyborem powinien być właśnie uzasadniony interes – z uwagi na utrwaloną linię orzeczniczą.