CÂND VORBIM DESPRE PRELUCRAREA DATELOR CU CARACTER PERSONAL?
Potrivit Legii nr. 55/2020, pe durata stării de alerta, prin ordin comun al ministrului sănătății si ministrului afacerilor interne se poate institui obligativitatea organizării activității operatorilor economici astfel încât sa se asigure la intrarea in sediu, in mod obligatoriu, triajul epidemiologic prin măsurarea temperaturii. Pentru personalul propriu, triajul epidemiologic consta în măsurarea temperaturii prin termometru noncontact.
Conform Ordinului nr. 874/81/2020 în cazul angajaților la intrarea la locul de muncă sunt obligatorii triajul epidemiologic și dezinfectarea mâinilor. Ordinul menționează că triajul epidemiologic nu implică înregistrarea datelor cu caracter personal și constă în:
- a) măsurarea temperaturii prin termometru noncontact (temperatura înregistrată nu trebuie să depășească 37,3ºC), la care se poate adăuga marja de eroare prevăzută în prospectul dispozitivului;
- b) observarea semnelor și simptomelor respiratorii (de tipul: tuse frecventă, strănut frecvent, stare generală modificată);
- c) în cazul în care temperatura înregistrată depășește 37,3ºC, se recomandă repetarea măsurării temperaturii, după o perioadă de 2-5 minute de repaus;
- d) dacă se constată menținerea unei temperaturi peste 37,3ºC sau/și prezența altor simptome respiratorii, persoana este trimisă pentru consult la medicul de familie;
Măsurarea temperaturii poate fi considerată o prelucrare a datelor cu caracter personal
În temeiul GDPR în funcție de contextul termoscanării și tehnologia utilizată măsurarea temperaturii corpului poate fi considerată o prelucrare a datelor cu caracter personal.
În sensul GDPR „date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă; o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Astfel temperatura corpului este considerată o dată cu caracter personal pentru că aceasta poate confirma/infirma starea de sănătate a unei persoane fizice la un moment dat.
De asemenea „prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
Astfel, regulamentul GDPR devin aplicabil atunci când:
- se efectuează o prelucrare automată de date, precum și atunci când
- prelucrarea este efectuată prin alte mijloace decât cele automate iar datele astfel prelucrate fac parte dintr-un sistem de evidență a datelor.
Prin urmare, dacă termoscanarea se efectuează prin mijloace automate (cum ar fi, de exemplu, camerele de imagistică termică), ea implică o prelucrare de date cu caracter personal iar dacă se efectuează prin mijloace manuale, ea implică o prelucrare de date cu caracter personal atunci când se creează evidențe ale acestor date.
Astfel, ca triajul să nu implică prelucrarea datelor cu caracter personal trebuie se să avem în vedere următoarele:
- operatorul să nu înregistrează temperaturile pentru a avea o evidență a rezultatelor triajului epidemiologic efectuat
- verificarea temperaturii să fie făcută printr-un dispozitiv electronic contactless – care să nu stochează valorile măsurate în memoria internă a aparatului.
- sistemele CCTV să nu aibă rază directă către zona unde se ia temperatura angajaților, și să nu aibă vizibilitate directă către fața angajatului care urmează să fie termoscanat și către ecranul dispozitivului.
Prin urmare, așa cum este confirmat și de ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal), simpla verificare a temperaturii cu ajutorul unui termometru manual cum ar fi un termometru fără contact, fără a se păstra nici o evidență a rezultatelor și fără a se efectua nici o altă operațiune, nu intră sub incidența reglementărilor privind protecția datelor.
Pe de altă parte este necesar să facem distincție între situația în care persoanele au temperatura de sub 37.3 grade Celsius, și situația în care persoanele au temperatura peste 37.3 grade Celsius.
În cazul în care persoanele au temperatura sub 37.3 grade Celsius, și sunt lăsate să intre în incită fără consemnarea temperaturii, triajul nu implică înregistrarea datelor cu caracter personal.
Însă în cazul în care se constată menținerea unei temperaturi peste 37,3 grade Celsius, angajatorul poate refuza intrare persoanei la locul de muncă, astfel înregistrarea temperaturii într-un sistem de evidență poate fi necesară pentru justificarea măsurii luate (se anunța medicului de medicina muncii, acesta fiind îndrumat spre locuința proprie/spital). Acest registru dovedește îndeplinirea obligațiilor legale, când persoana respectivă va dori să facă o sesizare sau o plângere pentru că nu a fost lăsat în incintă.
În acest context, ar trebui ca operatorul să treacă în registrul numele și prenumele complet al persoanei, ora, data, precum și temperatura existentă la momentul măsurării.
În acest din urmă caz, înregistrării temperaturii într-un sistem de evidență, fără îndoială este o prelucrare de date cu caracter personal iar organizațiile trebuie să respecte obligațiile impuse de GDPR.
În cazul în care se constată că măsurarea temperaturii implică prelucrarea datelor cu caracter personal organizația trebuie să aibă în vedere printre altele, următoarele:
- Reducerea la minimum a prelucrării datelor
Pe cât posibil, datele vor fi stocate sub formă minimală, prin utilizarea unor identificatori de tipul inițialelor, sau alocarea unui număr de identificare.
- Temei legal al prelucrării
Având în vedere obligația instituită prin Legea nr. 55/2020, rezultă că temeiul pentru prelucrarea temperaturii este îndeplinirea unei obligații legale, respectiv art. 6 alin. (1) din GDPR, coroborat cu art. 9 alin. (2) lit. i) din GDPR.
Consimțământul nu poate fi un temei legal pentru prelucrarea acestor date sensibile, întrucât acordul nu poate fi valabil exprimat, în sensul că nu poate fi acordat în mod liber.
- Scopul prelucrării:
Scopul acestei prelucrări de date, respectiv identificarea acelor persoane care au peste 37.3 grade Celsius temperatură este de a preveni răspândirea și transmiterea noului de tip de coronavirus SARS CoV-2.
- Informarea angajaților
Nu în ultimul rând trebuie să informați angajații despre prelucrarea acestor categorii de date.
Acest lucru presupune actualizarea notei de informare pe care o aveți în relație cu angajați precum și aducere la cunoștință despre aceste prelucrări prin e-mail sau prin-un afiș la un loc vizibil.
Nota de informare potrivit art. 13 din RGPD va conține următoarele elemente:
- identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
- datele de contact ale responsabilului cu protecția datelor, după caz;
- scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;
- perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă
- destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
- dreptul persoanei vizate inclusiv dreptul de a depune o plângere la ANSPDCP