Kontrole temperatury na lotniskach naruszają RODO
Badania temperatury pasażerów za pomocą kamer termowizyjnych są bezpodstawne. Do takich wniosków doszła izba odwoławcza belgijskiego organu nadzorczego. W efekcie Port Lotniczy Bruksela i Ambuce Rescue Team muszą zapłacić kary w wysokości odpowiednio 200 tys. euro i 20 tys. euro.
Kamery termowizyjne i kwestionariusze dotyczące stanu zdrowia
Powodem wymierzenia kary było mierzenie temperatury pasażerów na lotniskach i w efekcie przetwarzanie ich danych osobowych dotyczących stanu zdrowia, a więc danych szczególnej kategorii. Użyto bowiem kamer termowizyjnych do sprawdzenia, czy pasażerowie na lotnisku w Brukseli mieli temperaturę ciała co najmniej 38 st. C. Jeśli ta temperatura była wyższa, wówczas pasażerów poddawano drugiej kontroli. W jej ramach musieli oni wypełnić kwestionariusz dotyczący ewentualnych objawów koronawirusa i innych danych dotyczących zdrowia. Taki kwestionariusz miał być przechowywany przez 5 lat.
Rozwiązania takie stosowano oczywiście w związku z pandemią COVID-19. Przetwarzanie danych osobowych w opisany sposób miało miejsce od czerwca 2020 r. do stycznia 2021 r.
Brak podstawy przetwarzania danych pasażerów
W ocenie belgijskiego organu nadzorczego żaden z administratorów nie legitymował się podstawą przetwarzania wskazanych danych osobowych. Administratorzy oparli przetwarzanie na protokole. Nie wynikał on jednak z przepisów regulujących podstawy przetwarzania – RODO ani krajowych. Protokół nie mógł więc zawierać podstawy przetwarzania danych.
Administratorzy nie wykazali też konieczności przetwarzania danych w celu realizacji obowiązku prawnego (art. 6 ust. 1 lit. c RODO) lub zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO).
Nie określono również w sposób precyzyjny celu przetwarzania.
Braki w zakresie obowiązku informacyjnego
Belgijski organ nadzorczy zarzucił również nienależyte wykonanie obowiązku informacyjnego. Jeden z administratorów nie podawał bowiem podstawy przetwarzania danych w polityce prywatności.
Zaniechano DPIA
Administratorom zarzucono także nieprzeprowadzenie oceny skutków dla ochrony danych (DPIA) w zakresie przetwarzania danych osobowych o zdrowiu we wspomnianych kwestionariuszach, w tym ich przechowywania przez aż 5-letni okres retencji. W ocenie organu nadzorczego było to przetwarzanie danych osobowych szczególnej kategorii na dużą skalę. To zaś czyniło koniecznym przeprowadzenie DPIA.
Przeczytaj także: Jak dokumentować analizę ryzyka i DPIA – 7 wskazówek dla administratora
- newsletter UODO dla IOD (maj 2022 r.)
- Co po kontroli RODO – jak przebiega postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych
- Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
- Aplikacje webowe – jak przeprowadzić analizę ryzyka i zabezpieczyć dane
- Amazon France Logistique z karą za nadmiarowe przetwarzanie danych osobowych pracowników w ramach kontroli jakości pracy
- Jak przeprowadzić analizę ryzyka w zakresie ataku ransomware
- Czy IOD musi posiadać wiedzę na temat cyberbezpieczeństwa
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
