Pomiar temperatury może być przeprowadzany także z wykorzystaniem kamery termowizyjnej. Takie rozwiązanie można stosować w sytuacji, w której pomiar temperatury zostanie w odpowiednim trybie zalecony w zakładzie pracy przez sanepid. Powstaje pytanie, czy w takim przypadku zachodzi konieczność przeprowadzenia oceny skutków dla ochrony danych.
RODO stosujemy do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Jeżeli zatem gromadzone dane nie mają wejść do zbioru danych, wówczas przepisów RODO nie stosujemy, a tym samym DPIA nie będzie wymagana.
Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl/138/1516), „(w) sytuacji kiedy będzie dokonywany np. pomiar temperatury ciała danej osoby, czy też będą gromadzone dane dotyczące jej stanu zdrowia, a następnie informacje te będą utrwalane, przekazywane i gromadzone, wówczas będzie następowało przetwarzanie szczególnej kategorii danych osobowych.”. W przeciwnym zatem przypadku (gdy informacje te nie będą utrwalane, przekazywane i gromadzone), nie stosujemy RODO i związanej z nim DPIA.
Stosując technologię monitoringu termowizyjnego, administrator danych osobowych, nie zapisuje danych z obrazu, a nad monitoringiem czuwa osoba, która na jego podstawie może nie wpuścić danej osoby na teren obiektu w związku z odczytem temperatury ciała za pośrednictwem kamery termowizyjnej. Po zakomunikowaniu tej decyzji, fakt taki nie zostaje nigdzie odnotowany. Wówczas DPIA nie będzie wymagana, ponieważ nie stosujemy przepisów RODO. Jest to podobna sytuacja do manualnych pomiarów temperatury, gdy nie zapisujemy wyników pomiarów wpływających na fakt wpuszczenia danej osoby na teren określonego obiektu.
Jeżeli jednak uzyskane w powyższy sposób dane osobowe utrwalamy, gromadzimy lub przekazujemy, wówczas stosujemy przepisy RODO. Zgodnie z jego art. 35 ust. 1, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych osobowych (ADO) przed rozpoczęciem przetwarzania musi dokonać DPIA.
Jakkolwiek RODO, wymienia jedynie przykładowe sytuacje, w których DPIA jest konieczne, to już określone w art. 35 ust. 3 RODO przykłady mogą dawać podstawę do dokonania takiej oceny skutków w przypadku monitoringu termowizyjnego. Podstawa ta istnieje niezależnie od szczegółowego komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Tam bowiem Urząd Ochrony Danych Osobowych podkreśla, że „każdy z przykładów obszarów zastosowania ma charakter wyłącznie ilustracyjny, a w konsekwencji <> nie mają charakteru wyczerpującego”.
DPIA będzie wymagana w szczególności w przypadku:
W zasadzie każda z tych przykładowych przesłanek (a zwłaszcza pkt 1, gdy nie mamy do czynienia z „dużą skalą przetwarzania”) może w jednym lub większej liczbie przypadków być właściwa do stwierdzenia, że jednostka publiczna będąca ADO musi sporządzić DPIA.
ADO przetwarzający dane o temperaturze na inną skalę niż duża (duża skala to przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub międzynarodowym) może w każdym przypadku oczywiście podnosić, że zbieranie danych osobowych nie ma charakteru kompleksowego (jak w pkt 1 powyżej), jednak warto sobie postawić pytanie, czy więcej pracy wykonamy sporządzając DPIA, czy też przygotowując wyjaśnienia i dowody dla Urzędu Ochrony Danych Osobowych lub ewentualnie dla sądów.
Podwyższona temperatura może być podstawą decyzji o niewpuszczeniu pracownika na teren zakładu pracy. To z kolei może wpłynąć na niego znacząco już choćby przez wysokie ryzyko napiętnowania przez innych pracowników, którzy będą taką osobę podejrzewać o to, że już wcześniej zdążyła ona zarazić inne osoby na terenie zakładu pracy. DPIA ma nas natomiast m.in. naprowadzić na środki planowane w celu zaradzenia ryzyku (czyli np. na wprowadzenie procedury mającej na celu dyskretne podejmowanie decyzji o niewpuszczeniu danej osoby na teren zakładu pracy).
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
