Quali dati possono essere raccolti?
Nelle tessere con durata di validità breve (fino a 3 giorni): nessun dato personale
Nelle tessere con durata di validità media (da tre giorni): fotografia del viso
Nelle tessere stagionali e annuali: fotografia del viso e generalità
Per quanto tempo si possono memorizzare i dati?
Tutti i dati registrati nella banca dati centrale devono essere cancellati una volta scaduta la durata di validità delle tessere. È consentito un termine più lungo adeguato per proroghe e rinnovi.
Lo stesso vale per i sistemi con funzionalità di comparazione foto come Photo Compare che registrano i clienti mentre attraversano il tornello: questa funzione dovrebbe essere impiegata solo per le tessere di media o lunga durata. I dati personali possono essere salvati solo per il tempo in cui sono effettivamente necessari per individuare eventuali casi di abuso e non possono essere conservati in nessun modo oltre la durata di validità della carta.
I dati di log possono essere salvati solo per il tempo in cui sono effettivamente necessari per individuare casi di abuso o per soddisfare eventuali obblighi di conservazione legali (per es. per la contabilità). Se si prospetta l'utilizzo dei dati per scopi statistici, occorre renderli anonimi.
Per quali scopi si possono utilizzare i dati?
In linea di massima i dati raccolti possono essere impiegati soltanto per il controllo dell'accesso. Un impiego per altri scopi (per es. invio di pubblicità) necessita della previa autorizzazione del cliente. Un'eccezione è costituita dall'utilizzo di dati di log, peraltro sempre possibile, per la ricerca di persone scomparse.
Chi può avere accesso ai dati?
In linea di massima possono avere accesso ai dati solo le persone che li necessitano per adempiere le proprie mansioni, vale a dire che sono responsabili del controllo dell'accesso. Nel sistema possono essere concesse varie autorizzazioni. Occorre tuttavia adottare una linea per quanto possibile restrittiva.
Il supporto di memoria va conservato in un locale chiuso a chiave e i diritti di accesso a detto locale dovrebbero essere circoscritti a poche persone. I monitor di controllo devono essere posizionati in modo da essere visibili solo al personale addetto, mostrando, per il tempo necessario al controllo, esclusivamente la foto e non invece altri dati come per esempio quelli personali.
I dati possono essere comunicati a terzi?
I dati possono essere comunicati a terzi solo quando un controllo dell'accesso efficace lo richiede (per es. ai membri di una comunità tariffale) o se la persona interessata ha dato il suo consenso. In presenza di una relativa ordinanza di prova i dati devono inoltre essere trasmessi alle autorità di perseguimento penale. La manutenzione a distanza da parte del produttore del sistema non è considerata una comunicazione a terzi ed è pertanto consentita.
Come devono essere informati i clienti in merito al trattamento dei dati?
I clienti devono essere previamente informati su quali dati sono raccolti, lo scopo per il quale sono trattati e il tempo in cui sono memorizzati. Devono altresì essere informati qualora i dati siano comunicati a terzi o in particolare se i dati di log sono oggetto di un'analisi riferita alla persona. I clienti devono peraltro essere informati in merito a eventuali possibilità di opposizione e alle modalità del diritto di informazione. Su richiesta occorre fornire a ogni cliente informazioni a titolo gratuito concernenti i dati che lo riguardano.