Termowizja – czy konieczna DPIA
Pomiar temperatury może być przeprowadzany także z wykorzystaniem kamery termowizyjnej. Takie rozwiązanie można stosować w sytuacji, w której pomiar temperatury zostanie w odpowiednim trybie zalecony w zakładzie pracy przez sanepid. Powstaje pytanie, czy w takim przypadku zachodzi konieczność przeprowadzenia oceny skutków dla ochrony danych.
Pomiar temperatury a RODO
RODO stosujemy do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Jeżeli zatem gromadzone dane nie mają wejść do zbioru danych, wówczas przepisów RODO nie stosujemy, a tym samym DPIA nie będzie wymagana.
Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl/138/1516), „(w) sytuacji kiedy będzie dokonywany np. pomiar temperatury ciała danej osoby, czy też będą gromadzone dane dotyczące jej stanu zdrowia, a następnie informacje te będą utrwalane, przekazywane i gromadzone, wówczas będzie następowało przetwarzanie szczególnej kategorii danych osobowych.”. W przeciwnym zatem przypadku (gdy informacje te nie będą utrwalane, przekazywane i gromadzone), nie stosujemy RODO i związanej z nim DPIA.
Stosując technologię monitoringu termowizyjnego, administrator danych osobowych, nie zapisuje danych z obrazu, a nad monitoringiem czuwa osoba, która na jego podstawie może nie wpuścić danej osoby na teren obiektu w związku z odczytem temperatury ciała za pośrednictwem kamery termowizyjnej. Po zakomunikowaniu tej decyzji, fakt taki nie zostaje nigdzie odnotowany. Wówczas DPIA nie będzie wymagana, ponieważ nie stosujemy przepisów RODO. Jest to podobna sytuacja do manualnych pomiarów temperatury, gdy nie zapisujemy wyników pomiarów wpływających na fakt wpuszczenia danej osoby na teren określonego obiektu.
Nie obędzie się bez DPIA
Jeżeli jednak uzyskane w powyższy sposób dane osobowe utrwalamy, gromadzimy lub przekazujemy, wówczas stosujemy przepisy RODO. Zgodnie z jego art. 35 ust. 1, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych osobowych (ADO) przed rozpoczęciem przetwarzania musi dokonać DPIA.
Jakkolwiek RODO, wymienia jedynie przykładowe sytuacje, w których DPIA jest konieczne, to już określone w art. 35 ust. 3 RODO przykłady mogą dawać podstawę do dokonania takiej oceny skutków w przypadku monitoringu termowizyjnego. Podstawa ta istnieje niezależnie od szczegółowego komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Tam bowiem Urząd Ochrony Danych Osobowych podkreśla, że „każdy z przykładów obszarów zastosowania ma charakter wyłącznie ilustracyjny, a w konsekwencji <> nie mają charakteru wyczerpującego”.
DPIA będzie wymagana w szczególności w przypadku:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych (a zatem również danych o stanie zdrowia, na które może wskazać podwyższona temperatura ciała) lub
- systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
W zasadzie każda z tych przykładowych przesłanek (a zwłaszcza pkt 1, gdy nie mamy do czynienia z „dużą skalą przetwarzania”) może w jednym lub większej liczbie przypadków być właściwa do stwierdzenia, że jednostka publiczna będąca ADO musi sporządzić DPIA.
DPIA z ostrożności
ADO przetwarzający dane o temperaturze na inną skalę niż duża (duża skala to przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub międzynarodowym) może w każdym przypadku oczywiście podnosić, że zbieranie danych osobowych nie ma charakteru kompleksowego (jak w pkt 1 powyżej), jednak warto sobie postawić pytanie, czy więcej pracy wykonamy sporządzając DPIA, czy też przygotowując wyjaśnienia i dowody dla Urzędu Ochrony Danych Osobowych lub ewentualnie dla sądów.
Podwyższona temperatura może być podstawą decyzji o niewpuszczeniu pracownika na teren zakładu pracy. To z kolei może wpłynąć na niego znacząco już choćby przez wysokie ryzyko napiętnowania przez innych pracowników, którzy będą taką osobę podejrzewać o to, że już wcześniej zdążyła ona zarazić inne osoby na terenie zakładu pracy. DPIA ma nas natomiast m.in. naprowadzić na środki planowane w celu zaradzenia ryzyku (czyli np. na wprowadzenie procedury mającej na celu dyskretne podejmowanie decyzji o niewpuszczeniu danej osoby na teren zakładu pracy).
- Ochrona danych osobowych uczestników rynku kryptoaktywów wymaga doprecyzowania
- Nowelizacja ustawy o cudzoziemcach sprzeczna z zasadą minimalizacji RODO – uwagi Prezesa Urzędu Ochrony Danych Osobowych
- Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
- Kodeks postępowania RODO w ochronie zdrowia - jakie rozwiązania przewiduje
- UODO: dane o majątku małżonka osoby publicznej nie powinny podlegać udostępnieniu
- Przetwarzanie danych osobowych w zaświadczeniu o niekaralności z Krajowego Rejestru Karnego
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
