TB-22003
Dot. Monitoring z zastosowaniem kart technologii RFID w obszarze przetwarzania Spółki XYZ.
Przedmiotem przetwarzania jest kontrolowanie przebywania osób uprawnionych na terenie zakładu pracy, wydawanie kluczy osobom uprawnionym oraz udostępnianie urządzeń wielofunkcyjnych do druku, skanowania, kopiowania. Monitoring jest prowadzony bez podstawy prawnej wynikającej z KP i stosownych zapisów w Regulaminie Pracy. Taka informacja dezaktualizuje się wciągu kilku dni ale jest zapamiętywana w systemie cyfrowym. Procedowanie monitoringu w zgodzie z KP jest procesem czasochłonnym, dlatego należy rozważyć możliwość przetwarzania przed usankcjonowaniem zapisów w Regulaminie Pracy.
Podmiot może mieć uzasadniony, ale nie szczególnie ważny, interes, żeby przetwarzać dane w ramach monitoringu za pomocą kart RFID i czytników tych kart a umieszczonych na drzwiach wejściowych do budynku oraz w komórkach i miejscach odpowiedzialnych za przydział i wydawanie kluczy do pomieszczeń a także przy każdym urządzeniu wielofunkcyjnym a rozmieszczonemu przeważnie w ciągach komunikacyjnych. Karty dodatkowo pozwalają chronić dostęp do danych drukowanych czy kopiowanych lub skanowanych na urządzeniach wielofunkcyjnych, co podnosi bezpieczeństwo dla tych danych. Dostęp do budynków dodatkowo pozwala ustalić imiennie osoby przebywające w danej chwili co jest wykorzystywane w trakcie potencjalnej ewakuacji budynku. Pozwala to jednoznacznie zidentyfikować kto jeszcze pozostał w zagrożonym budynku a kto już go opuścił. Aby zachować należyta rozliczalność i uwzględnić prawa i wolności osób, których DO podlegają monitoringowi w zakresie użytkowania kart RFID, bez podstawy prawnej wynikającej z KP, należy wprowadzić następujące ograniczenia w przetwarzaniu DO. Ograniczyć czas przetwarzania danych udostepniających urządzenia wielofunkcyjne do retencji wynoszącej jeden dzień. Ograniczyć przetwarzanie danych w zakresie wejścia do budynku do 3 dni. Administrator surowo zabronił przetwarzania zgromadzone dane do innych celów niż wymienione w teście balansu.
WYNIK SKRÓCONEGO TESTU BALANSU:
W sumie, biorąc również pod uwagę wprowadzone gwarancje i środki organizacyjne, w tym ograniczony okres przetwarzania, interesy i prawa osoby, której dane dotyczą, nie wydaje się być nadrzędny wobec uzasadnionego interesu pracodawcy leżącego w przetwarzaniu monitoringu z zastosowaniem kart technologii RFID.
W przypadku potrzeby szerszego przetwarzania danych osobowych należy przeprowadzić pełny TEST BALANSU przez Właściciela Aktywu i wyznaczone przez niego osoby oraz inne osoby współuczestniczące w przetwarzaniu.
Link do testu:
INSPEKTOR OCHRONY DANYCH
…………………………..
| Decyzja Administratora | Data |
| 15 listopada 2022 r. |
