Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Najnowsze wytyczne EIOD dotyczące kontroli temperatury ciała

Najnowsze wytyczne EIOD dotyczące kontroli temperatury ciała

02.10.2020
Autor: Karol Witas
Analizy

Europejski Inspektor Ochrony Danych (EIOD) wydał wytyczne dotyczące stosowania kontroli temperatury ciała przez unijne instytucje, organy, urzędy i agencje (EUI) w kontekście kryzysu COVID-19. Wytyczne skierowane są do instytucji unijnych, w przypadku których zasady przetwarzania danych określa Rozporządzenie 2018/1725. Stanowią one jednak cenną wskazówkę dotyczącą pomiaru temperatury na gruncie RODO np. w relacjach pracowniczych.

Poniżej przedstawiono najważniejsze wnioski wytycznych.

Dopuszczalne formy kontroli temperatury ciała

Pomiar temperatury, dokonywany przy użyciu termometru nie podlega przepisom o ochronie danych, jeżeli temperatura następnie nie jest rejestrowana ani zapisywana. Przy czym rodzaj użytego termometru nie ma znaczenia.

Pomiar ręczny, który następnie jest rejestrowany oraz pomiar zautomatyzowany (np. z użyciem kamery termowizyjnej, lub bramek mierzących temperaturę) jest objęty zakresem stosowania RODO, a w dodatku jako że dotyczy danych dotyczy zdrowia, jest również traktowane jako przetwarzanie szczególnych kategorii danych.

Niedopuszczalna forma kontroli temperatury

Jak wskazuje EIOD dokonywanie pomiaru temperatury wyłącznie w sposób zautomatyzowany jest co do zasady niedopuszczalne. Pomiar ten może bowiem skutkować decyzją o niewpuszczeniu pracownika na teren budynku. Taki pomiar może bowiem spełniać kryteria zautomatyzowanego podejmowania decyzji, o którym mowa w art. 22 RODO. Jako że podmiot kontrolujący temperaturę nie spełnia co do zasady przesłanek legalizujących takie przetwarzanie danych, osoba, której dane dotyczą ma prawo, aby takiej decyzji nie podlegać. Z tego powodu brak jest podstaw prawnych do dokonywania pomiaru temperatury oraz podejmowania decyzji w oparciu o ten pomiar w sposób w pełni zautomatyzowany.

Znaczący czynnik ludzki

EIOD wskazuje, że w przetwarzaniu danych w ramach kontroli temperatury kluczowy powinien być czynnik ludzki, tak aby przetwarzanie nie mieściło się w zakresie art. 22 RODO. EIOD powołuje się przy tym na stanowisko Grupy Roboczej Art. 29. Zgodnie z tym stanowiskiem, aby można było uznać, że ma miejsce udział człowieka, administrator musi zapewnić, aby jakikolwiek nadzór nad decyzją był znaczący, a nie stanowił tylko symboliczny gest[1].

EIOD wskazuje, że zaangażowanie człowieka jest szczególnie istotne na etapie odmowy dostępu, z uwagi na zbyt wysoką temperaturę osoby kontrolowanej. Przykładem takiego zaangażowania może być przeprowadzenie drugiej lub trzeciej kontroli przez osobę mającą odpowiednie uprawnienia i kompetencje (np. lekarza lub pielęgniarkę) do oceny szczególnej sytuacji osoby, której dane dotyczą, oraz do oceny dalszego postępowania w określonej sytuacji.

Odpowiednie środki techniczne i organizacyjne

Zgodnie z Wytycznymi EIOD w przypadku przetwarzania danych w ramach kontroli w sposób zautomatyzowany, należy zwrócić uwagę na następujące kwestie:

Systemy do przeprowadzania kontroli temperatury ciała, powinny działać niezależnie i nie powinny być połączone z żadnymi innymi systemami informatycznymi, w szczególności z systemem monitoringu wizyjnego. Niezależność oznacza również, że system do przeprowadzania kontroli temperatury ciała nie sprawdza tożsamości osoby kontrolowanej.
System powinien działać w czasie rzeczywistym – nie może zapisywać danych ani dokumentować wyników kontroli. W pobliżu skanera termicznego powinien zostać umieszczony system zdalnego podglądu, który uniemożliwia odczytującemu zapisanie obrazu i w którym wyniki są wyświetlane tylko „na żywo”.
W przypadku użycia niektórych przemysłowych kamer termowizyjnych, które nie zostały zaprojektowane w celu przeciwdziałania pandemii, kamery powinny być dostosowane do wymogów technicznych i organizacyjnych wynikających z prawa ochrony danych.
Należy upewnić się, że system wyświetla wyniki jedynie na żywo i nie utrwala obrazu, zwłaszcza jeśli może przesyłać wyniki lub obraz zdalnie za pośrednictwem protokołu przewodowego lub bezprzewodowego (takich jak np. Bluetooth, Wi-Fi, Ethernet). W takim przypadku należy upewnić się, że nie powstawał żaden zapis kontrolowanych informacji.
Administrator danych (np. pracodawca dokonujący pomiaru temperatury) powinien zweryfikować dostęp do danych przez producenta urządzeń mierzących temperaturę, jeżeli system kontrolujący temperaturę jest monitorowany przez niego pod kątem poprawności działania.
Należy przeanalizować cały cykl życia danych, aby upewnić się, że nie jest dokonywany żaden zapis lub przechowywanie. Ponadto korzystanie z systemu powinno być podporządkowane zasadzie ograniczenia celu, zatem przetwarzane dane nie powinny być wykorzystywane do innych celów. W ramach kontroli dostępu do pomieszczeń celem powinno być wykrycie osoby o podwyższonej względem ustalonego progu temperaturze, jeżeli osoba ta chce dostać się na teren objęty kontrolą. Ustalenie progu temperatury, którego przekroczenie uniemożliwia osobie kontrolowanej przejście kontroli powinien zostać uzasadniony i udokumentowany przez administratora.
W przypadku, w którym istnieje niewielka różnica pomiędzy temperaturą 36,6 °C, a ustalonym progiem temperatury, należy zweryfikować dokładność urządzeń i regularnie kalibrować czujnik.
Personel, odpowiedzialny za kontrolę, musi zostać odpowiednio przeszkolony w zakresie obsługi i interpretacji wyników. Należy pamiętać również o nadaniu temu personelowi upoważnień do przetwarzania danych osobowych.

Transparentność:

Zgodnie ze wskazaniami EIOD, podmioty danych powinny zostać wyraźnie poinformowane o istnieniu systemu kontroli temperatury, wraz z wyraźnym wskazaniem celu kontroli podmiotu, który o niej zdecydował oraz daty decyzji. Informacja powinna być przekazana poprzez oznaczenia informujące o kontrolach temperatury. Oznaczenia te powinny być:

Umieszczone w widocznych miejscach.
Na tyle duże, aby każdy mógł je zauważyć i bez trudu odczytać.
Ogólnie zrozumiałe dla pracowników i najczęściej odwiedzających (w razie potrzeby w kilku wersjach językowych).

W przypadku pojawienia się ewentualnych pytań lub wątpliwości dotyczących sposobu działania urządzenia do pomiaru temperatury i rodzaju gromadzonych danych, podmioty danych powinny mieć możliwość uzyskania odpowiednich informacji od administratora.

Procedura postępowania w wypadku pozytywnego wyniku testu

W przypadku stwierdzenia podwyższonej temperatury, powinna być wdrożona odpowiednia procedura kontrolna.

Drugi pomiar. Na tym etapie osoba kontrolowana powinna mieć możliwość skorzystania z drugiego pomiaru. Drugi pomiar powinien wykluczyć ewentualną wadliwość sprzętu mierzącego temperaturę lub problem z kalibracją urządzenia.

W przypadku, gdy również po drugim pomiarze temperatura jest nadal powyżej zdefiniowanego progu, osoba kontrolowana powinna mieć możliwość skorzystania z trzeciego pomiaru wykonanego innym urządzeniem przez pracownika służby zdrowia.

Odmowa wejścia. Jeżeli po trzecim pomiarze temperatura ciała osoby kontrolowanej nadal utrzymuje się powyżej zdefiniowanego progu, osobie tej odmawia się wejścia do budynku. Osobie, której odmówiono wejścia do budynku, należy udzielić odpowiednich porad i informacji, w tym co najmniej przekazać ulotkę z danymi kontaktowymi organów ochrony zdrowia oraz miejsc badań wykrywających obecność COVID-19.

Jeżeli osoba (pracownik, gość, inna), której odmówiono dostępu, zażąda dowodu odmowy, pracownicy ochrony powinni przedstawić potwierdzenie z datą, godziną i miejscem wejścia ze wskazaniem, że posiadaczowi tego dokumentu odmówiono wejścia z powodu pozytywnego pomiaru temperatury.

W przypadku, gdy pracownicy są zmuszeni do usprawiedliwiania nieobecności w biurze swoim przełożonym, taką nieobecność z powodu przekroczenia temperatury należy usprawiedliwić zgodnie z normalną procedurą obowiązującą w takich przypadkach. Przetwarzanie danych osobowych związanych z urlopami i nieobecnościami powinno pozostać wyraźnie oddzielone od stosowanego systemu kontroli temperatury. Zainteresowanemu pracownikowi (albo innemu członkowi personelu) należy zapewnić rozwiązania, które ograniczają zakłócanie jego życia prywatnego takie jak: telepraca, czy zwolnienie lekarskie. W wytycznych podkreślono, że nie wolno takiego pracownika ani karać ani stygmatyzować w związku z pozytywną kontrolą temperatury.

EIOD wskazuje też na konieczność dostosowywania użytych środków do zmieniającej się sytuacji i dokonywania ich przeglądu.

Źródła:

https://edps.europa.eu/data-protection/our-work/publications/guidelines/orientations-edps-body-temperature-checks-eu_en

Wytyczne Grupy Roboczej art. 29 dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679, 17/EN WP251rev.01

Autor

Karol Witas

Zajmuje się zagadnieniami z zakresu ochrony danych osobowych. Doświadczenie zawodowe zdobywał w krakowskich kancelariach prawnych specjalizujących się w zagadnieniach dotyczących prawa cywilnego, ochrony danych osobowych i własności intelektualnej. Współpracował z organizacjami pozarządowymi m. in. zapewniając im obsługę prawną, w tym w zakresie danych osobowych. Brał udział w tworzeniu dokumentacji oraz procedur w ramach wielu projektów wdrożenia RODO.

Z tej samej kategorii

Prawo do bycia zapomnianym Więcej

Ochrona danych osobowych na tle sprawy Morele.net Więcej

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów Więcej

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

WSZYSTKIE Z KATEGORII

Kategorie

Analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Ustawienia plików cookie

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>