Temat: Pracownicy firmy zewnętrznej na terenie spółki

W firmie, w której jestem zatrudniona dopeiro zaczynamy tworzyć politykę bezpieczeństwa, identyfikować zbiory, nadawać upoważnienia...Niestety dopiero zaczynamy i niestety moja wiedza ogranicza się do krótkiego szkolenia i informacji, które sama wyszukałam w internecie. Dlatego proszę Forumowiczów o pomoc :)
W firmie mamy program tzw. RCP (rejestrator wejść i wyjść). Rejestruje on czas pracy pracowników spółki i jednocześnie jest systemem, w którym zapisujemy dane osobowe gości wchodzących na teren firmy na pdostawie wydanych identyfikatorów GOŚĆ. Wiem, że tego typu zbiór nie wymaga rejestracji.
Problem w tym, że w w/w systemie rejestrujemy również dane osobowe pracowników firm zewnętrznych, które na terenie spółki wykonują np. prace remontowe, serwisowe itp. Tym osobom, na podstawie umów m-dzy zatrudniającymi ich firmami a naszą spółką, wydawane są identyfikatory imienne ze zdjęciem i nazwą firmy, w której dana osoba jest zatrudniona. Umowy podpisywane są na 2-3 lata. Nie wiem jak podejść do tych danych. czy trzeba je rejestrować jako zbiór? Na jakiej podstawie powinniśmy je przetwarzać? Czy w umowach między firmami powinny być zapisy dot. powierzenia przetwarzania danych osobowych, czy nie jest to potrzebne? A co ze zbiorem danych? System RCP jest jednocześnie zbiorem danych pracowników (nie wymaga rejestracji), zbiorem na zasadzie księgi wejść i wyjść (również nie rejestrujemy - dot. bowiem bieżących spraw życia codziennego) i też miejscem, w którym rejestrujemy dane pracowników firm zewnętrznych. Ci pracownicy wchodzą na teren spółki jeśli nie codziennie, to przynajmniej kilka razy w tygodniu lub w miesiącu.
Bardzo proszę o jakąś podpowiedź, bo nie jestem przekonana do tego, że dane tych pracowników firm zewnętrznych można zakwalifikować jako bieżące sprawy życia codziennego, skoro "wchodzą" na teren mojej spółki z niemal równą częstotliwością co nasi pracownicy.

Temat: Pracownicy firmy zewnętrznej na terenie spółki

Moim zdaniem przetwarzają Państwo te dane jako "zleceniobiorca", a więc te spółki powierzają Państwu swoje dane. Jako że obowiązek rejestracji zbioru ciąży na administratorze danych, a Państwo wobec tych danych jesteście jedynie "procesorem" - nie trzeba zbioru rejestrować.

Wydaje mi się też, że nie można zakładać, że zbiór to baza danych czy też "zbiór określonych danych". To jest znacznie szersze pojęcie, a przynajmniej w praktyce (także przez GIODO) znacznie szerzej interpretowane - ja zwykłem mówić o "systemie" przetwarzania danych.

Temat: Pracownicy firmy zewnętrznej na terenie spółki

Z Państwa strony mogą mieć zastosowanie przepisy dotyczące umów powierzenia przetwarzania danych osobowych (Art. 31. ) lub przepisy odnośnie rejestracji zbiorów danych osobowych przez firmę zewnętrzną (Art. 43 ust. 1. pkt 4).