Zanim przedsiębiorca zainstaluje urządzenia do pomiaru temperatury, np. w sklepach, musi wystąpić o wydanie decyzji lub zaleceń potwierdzających dopuszczalność ich użycia w konkretnym miejscu.
Pandemia koronawirusa zainspirowała wiele pomysłów w obszarze nowych technologii, w tym mających na celu jak najdalej idącą ochronę osób fizycznych (pracowników, konsumentów) przed ryzykiem zakażenia COVID-19. Pomysły te jednak często zakładają ingerencję w prywatność osób fizycznych.
Przedsiębiorcy rozważają m.in. coraz szersze wykorzystywanie kamer termowizyjnych, czyli specjalistycznych urządzeń umożliwiających pomiar temperatury ciała w miejscach odwiedzanych przez znaczną liczbę osób, w których istnieje wysokie ryzyko zakażenia, w tym w galeriach handlowych, w punktach komunikacyjnych (np. na dworcach) lub w szpitalach. Dotychczas kamery takie były wykorzystywane przede wszystkim przez pracodawców w zakładach pracy w celu wyłączenia ryzyka dopuszczenia do pracy osób, które mogą być zakażone koronawirusem.
Pojawiają się jednak wątpliwości co do zgodności podobnych praktyk z rozporządzeniem PE i Rady nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (Dz.Urz. UE z 2016 r. L 119, s. 1; dalej: RODO). Podkreślenia wymaga bowiem, że kamery termowizyjne w większości są wyposażone w funkcję zapisywania obrazu. Oznacza to, że istnieje możliwość zapisywania w tych urządzeniach danych obejmujących wizerunek osoby fizycznej wraz z jej temperaturą ciała. W takich przypadkach dojdzie do przetwarzania danych osób fizycznych, w tym danych o ich stanie zdrowia (należących do szczególnych kategorii danych osobowych, których przetwarzanie podlega restrykcyjnym rygorom).
Warto przypomnieć, że wcześniej szerokim echem odbiło się wprowadzenie obowiązkowej aplikacji „Kwarantanna domowa”, służącej do nadzoru nad osobami zakażonymi, w tym poprzez pobieranie danych o ich lokalizacji, w szczególności pod kątem jej zgodności z regulacjami RODO i innych przepisów dotyczących ochrony prywatności.
Ocena prawna dopuszczalności wykorzystania kamer termowizyjnych może różnić się w zależności od miejsca i sposobu ich zastosowania.
W zakładzie pracy
Nie ulega wątpliwości, że dane osobowe obejmujące temperaturę ciała pracownika nie należą do katalogu podstawowych danych, które pracodawca może przetwarzać z mocy prawa. W tym kontekście należy jednak uwzględnić art. 207 ustawy z 26 czerwca 1974 r. ‒ Kodeks pracy (t.j. Dz.U. z 2019 r. poz. 1040; ost.zm. Dz.U. z 2019 r. poz. 1495; dalej: k.p.), zobowiązujący pracodawcę do ochrony zdrowia i życia pracowników oraz do zapewnienia im bezpiecznych i higienicznych warunków pracy. Wydaje się, że wprowadzenie w zakładach pracy obowiązkowego pomiaru temperatury (zarówno u pracowników, jak i osób trzecich wchodzących na teren zakładu), jako mające na celu ochronę zatrudnionych przed osobami potencjalnie zakażonymi, realizuje wytyczne kodeksu pracy. Warto wskazać, że analogiczne stanowisko zostało przyjęte przez zagraniczne organy ochrony danych osobowych, np. w Niemczech.
Jako dalsza podstawa przetwarzania danych dotyczących temperatury ciała w zakładach pracy wskazywany jest art. 9 ust. 2 lit. h RODO, dotyczący przypadków, gdy „przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą”. Mimo że ochrona życia i zdrowia pracownika stanowi „obowiązek administratora” (pracodawcy) w rozumieniu powyższego przepisu, pewne wątpliwości może wywoływać spełnienie przesłanki „niezbędności”. Wydaje się bowiem, że w celu ochrony zdrowia pracowników można zastosować np. pracę zdalną lub wprowadzić wymóg zachowania odpowiednich odległości pomiędzy nimi. Nie ulega jednak wątpliwości, że wykorzystanie tych możliwości nie będzie możliwe we wszystkich rodzajach pracy. Ponadto zastosowanie kamer termowizyjnych może potencjalnie pomóc, w przypadkach gdy część pracowników już choruje. W konsekwencji należy stwierdzić, że podstawa prawna przetwarzania danych dotyczących temperatury ciała w zakładzie pracy co do zasady istnieje.
Jednocześnie pracodawcy powinni pamiętać o wykonaniu podstawowych obowiązków związanych z takimi działaniami, w szczególności poinformować pracowników (ewentualnie osoby odwiedzające zakład pracy, o ile będą objęte pomiarem temperatury) o stosowaniu kamer termowizyjnych i podstawie prawnej ich przetwarzania zgodnie z wymogami RODO. Dodatkowo wprowadzenie pomiaru temperatury powinno skutkować dokonaniem wstępnej oceny pod kątem przeprowadzenia pełnej oceny skutków przetwarzania dla ochrony danych (DPIA, ang. data privacy impact assessment). Należy bowiem pamiętać, że przetwarzanie na dużą skalę danych o stanie zdrowia (jako szczególnych kategorii danych osobowych) jest jedną z przesłanek wskazujących na konieczność dokonania DPIA (art. 35 ust. 3 RODO).
W innych miejscach
Nieco odmiennie wygląda ocena dopuszczalności stosowania kamer termowizyjnych poza zakładami pracy, w szczególności w galeriach handlowych, sklepach czy na dworcach.
Przede wszystkim w przypadku wykorzystania tego rodzaju urządzeń w takich miejscach nie będą miały zastosowania podstawy prawne odwołujące się do konieczności ochrony życia i zdrowia pracowników (art. 207 k.p.) czy niezbędności przetwarzania danych do wykonywania obowiązków wynikających z prawa pracy lub zabezpieczenia społecznego (art. 9 ust. 2 lit. h RODO).
Rozważenia wymagają zatem pozostałe przesłanki wynikające z przepisów RODO. Ze względu na okoliczność, że dane o temperaturze ciała należą do szczególnych kategorii danych osobowych w rozumieniu RODO, należy uwzględnić przesłanki przetwarzania tych kategorii danych (art. 9 RODO), a nie ogólne podstawy przetwarzania zwykłych danych osobowych (art. 6 RODO). W tym zakresie najbardziej adekwatna wydaje się przesłanka przewidziana w art. 9 ust. 1 lit. i RODO. Dopuszcza ona przetwarzanie szczególnych kategorii danych (w tym danych o stanie zdrowia) w przypadkach, gdy „przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową”.
Wydaje się, że pomiar temperatury ciała u klientów, podróżnych czy odwiedzających szpital można uzasadniać względami interesu publicznego – ochroną zdrowia ogółu przed epidemią koronawirusa (która bezsprzecznie stanowi transgraniczne zagrożenie zdrowotne, o którym mowa w art. 9 ust. 1 lit. i RODO). Uwzględnienia wymaga jednak, że ww. przepis wymaga wprost, aby takie przetwarzanie było przewidziane w przepisie prawa Unii lub prawa państwa członkowskiego, które dodatkowo powinny przewidywać odpowiednie środki ochrony praw i wolności osób fizycznych (w przeciwieństwie do wskazywanego jako podstawa przetwarzania danych pracowników art. 9 ust. 1 lit. b RODO, wymagającego jedynie, aby takie przetwarzanie było „dozwolone” właściwymi przepisami). Jednocześnie wydaje się, że na tę chwilę nie istnieje przepis, który umożliwiałby administratorom, takim jak galerie handlowe czy operatorzy dworców lub szpitale, przetwarzanie danych o stanie zdrowia ich klientów. W szczególności stosowna podstawa prawna nie została przewidziana w przepisach ustaw dotyczących przeciwdziałania COVID-19 (w tym w kolejnych tarczach antykryzysowych).
W stanowisku z 5 maja br. prezes Urzędu Ochrony Danych Osobowych zdaje się za taką podstawę uznawać art. 17 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. poz. 374), upoważniający Głównego Inspektora Sanitarnego (dalej: GIS) do „oddziaływania na inne podmioty oraz na zmiany w obowiązujących przepisach, a także wskazywania na przyjmowanie właściwych rozwiązań”. W ocenie autorki jednak powyższy przepis raczej nie stanowi podstawy do przetwarzania danych w rozumieniu art. 9 ust. 1 lit. i RODO, ponieważ odwołuje się do podstaw prawnych o charakterze generalnym. Decyzja GIS wydawana względem konkretnego przedsiębiorcy miałaby natomiast charakter indywidualny (dotyczący sytuacji konkretnego podmiotu). Istotna jest również okoliczność, że kamery termowizyjne zbierają dane o stanie zdrowia, które zgodnie z RODO należą do szczególnych kategorii danych osobowych i w związku z powyższym podlegają szczególnej ochronie. W przeciwieństwie do zwykłych danych osobowych, zasadą w przypadku szczególnych kategorii danych jest zakaz ich przetwarzania, z wyjątkiem wprost wskazanych w przepisach sytuacji (przesłanek legitymizujących). Mając na uwadze, że jedną z takich przesłanek stanowi zgoda osoby fizycznej (art. 9 ust. 2 pkt 1 RODO), w tym kontekście rozważyć można możliwość pobierania zgody klienta/osoby odwiedzającej przed wejściem na teren obiektu. Potencjalnie możliwe byłoby zastosowanie blokady wejścia na teren obiektu w przypadku braku takiej zgody. Wydaje się jednak, że stosowanie mechanizmu zgody na przetwarzanie danych osobowych w takich przypadkach byłoby co najmniej ryzykowne. W szczególności powstaje pytanie, w jaki sposób zapewnić klientom możliwość cofnięcia zgody na przetwarzanie danych (które stanowi jedno z podstawowych praw związanych z przetwarzaniem danych osobowych).
Wobec powyższego należy uznać, że obecnie dopuszczalność stosowania kamer termowizyjnych w miejscach innych niż zakłady pracy budzi zastrzeżenia. Wydaje się, że w celu umożliwienia ich wykorzystywania najkorzystniejsze byłoby wprowadzenie przez ustawodawcę precyzyjnych przepisów wskazujących na możliwość przetwarzania takich danych, z jednoczesnym wskazaniem środków ochrony praw i wolności klientów (np. wprowadzenie jasnych i nienaruszających godności osobistej klientów zasad postępowania z osobami, u których stwierdzono podejrzenie choroby).
Pytanie do GIS
W razie podjęcia przez przedsiębiorcę decyzji o stosowaniu kamer termowizyjnych mimo istnienia powyższych wątpliwości, w celu ograniczenia ryzyka zakwestionowania takiej praktyki, najbezpieczniejszym rozwiązaniem wydaje się wystąpienie przez administratora do GIS o wydanie decyzji lub zaleceń potwierdzających dopuszczalność stosowania kamery termowizyjnej w konkretnym miejscu.
We wniosku do GIS warto zawrzeć proponowany sposób działania tych kamer wraz z uzasadnieniem potrzeby ich wykorzystania, aby ułatwić organowi podjęcie właściwej decyzji. Niezależnie od tego administratorzy mogą rozważyć wprowadzenie mechanizmu uzyskiwania zgody od osób fizycznych na przetwarzanie ich danych dotyczących pomiaru temperatury ciała.
Obowiązki przedsiębiorcy
Ponadto administratorzy danych osobowych, które będą przetwarzane za pośrednictwem kamer termowizyjnych (zarządcy galerii handlowych, dworców), podobnie jak pracodawcy, powinni spełnić obowiązki wynikające z RODO. Przede wszystkim osoby, których dane są pobierane za pośrednictwem kamer termowizyjnych, należy poinformować o zasadach przetwarzania tych danych. Trzeba też rozważyć konieczność przeprowadzenia DPIA (oceny skutków przetwarzania) w związku ze stosowaniem kamer termowizyjnych. Przetwarzanie na dużą skalę danych o stanie zdrowia (jako szczególnych kategorii danych osobowych) jest bowiem jedną z przesłanek wskazujących na konieczność dokonania DPIA (art. 35 ust. 3 RODO). W razie używania kamer termowizyjnych w miejscach o dużym natężeniu ruchu (zwłaszcza w galeriach handlowych czy na dworcach) istnieje wysokie prawdopodobieństwo, że konieczne będzie sporządzenie analizy DPIA – czyli pełnej oceny skutków przetwarzania dla ochrony danych. [ramka] ©℗
Zakres oceny skutków przetwarzania
Artykuł 35 ust. 7 RODO wskazuje zakres oceny skutków przetwarzania. Taka ocena powinna zawierać co najmniej:
•systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie ‒ prawnie uzasadnionych interesów realizowanych przez administratora;
•ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
•ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz
•środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia, środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą.