Administrator budynku czy przedsiębiorca prowadzący ewidencję osób wchodzących do strzeżonego gmachu może przetwarzać dane osobowe gości, jeśli jest to usprawiedliwione celami ochrony osób i mienia znajdującego się wewnątrz. Przetwarzanie nie może naruszać praw i wolności osoby, której dane dotyczą. Dane osobowe zawarte w księgach wejść i wyjść stanowią zbiory danych w rozumieniu ustawy o ochronie danych osobowych.

– Zbiory takie nie podlegają jednak rejestracji u Generalnego Inspektora Ochrony Danych Osobowych. Stanowią one bowiem dane przetwarzane w zakresie drobnych, bieżących spraw życia codziennego, mających drugorzędne znaczenie dla administratora danych, niezwiązane z jego działalnością główną – tłumaczy Michał Serzycki, generalny inspektor ochrony danych osobowych.

Gromadzenie danych osobowych w celu tworzenia księgi wejść i wyjść do budynku powinno obejmować tylko dane adekwatne do tego celu, czyli bez uzyskiwania zbyt szerokiego zakresu informacji o osobach. Nie można na przykład bez usprawiedliwienia żądać podania oprócz imienia i nazwiska np. numeru PESEL, NIP i adresu zamieszkania.

– Zbierane dane powinny być wykorzystywane tylko w tym celu, dla którego zostały zebrane, i nie mogą być poddawane dalszemu przetwarzaniu niezgodnemu z tym celem, np. nie można wykorzystywać tych danych do wysyłania różnego rodzaju korespondencji – mówi Michał Serzycki.

Na administratorze danych spoczywa też obowiązek właściwego zabezpieczenia danych, tak aby nie dostały się one w ręce osób nieupoważnionych.