Termoscanarea. Două avocate consultă Autoritatea privind protecția datelor

Pe data de 25 mai 2020, s-au împlinit 2 ani de când Regulamentul General privind Protecția Datelor (GDPR) se aplică direct în România.

Subiectul termoscanării este pe buzele tuturor. Opiniile lansate în spațiul public variază. O parte din specialiști spun că nu este vorba de prelucrarea datelor personal, iar alții sunt de părere că termoscanarea poate prelucra date personale și devine incident GDPR care prevede amenzi care pot ajunge până la 4% din cifra de afaceri pentru prelucrări neconforme.

Silvia Uscov, (Avocat, Managing Partner în cadrul USCOV | Attorneys at law) și Ruxandra Sava, (Avocat, Certified Privacy Professional/Europa, CIPP/e), avocate în Baroul București, au transmis pe data de 25 mai 2020, în temeiul art. 51 din Constituția României, o petiție către ANSPDCP prin care solicită a se răspunde la 23 de întrebări pentru interpretarea și aplicarea unitară a GDPR cu privire la subiectul termoscanării.  Cele două avocate sunt de părere că ar trebui găsit un echilibru între protecția sănătății și protecția datelor cu caracter personal și consideră necesară intervenția ANSPDCP deoarece, în prezent, este autoritatea publică al cărei punct de vedere contează în privința termoscanării.

Potrivit petitiției, „(…) Măsurarea temperaturii prin tehnologii evoluate și invazive poate prezenta riscuri pentru viața privată și pentru celelalte drepturi ale omului. Deși prezintă riscuri pentru viața privată și celelalte drepturi ale omului, termoscanarea ar putea fi un instrument util pentru combaterea pandemiei COVID-19, iar organizațiile trebuie să găsească un echilibru între această activitate de prelucrare și drepturile persoanelor fizice. În contextul în care o parte din specialiștii în drept afirmă că termoscanarea nu cade, în nicio situație, sub incidența RGPD, există riscul ca organizațiile să nu se conformeze prevederilor RGPD ce poate avea ca urmări atât riscuri mari la adresa drepturilor și libertăților persoanelor vizate, cât și scăderea încrederii persoanelor ceea ce poate avea drept consecință frânarea procesului de combatere a pandemie. RGPD, pentru majoritatea organizațiilor, este o lege complexă și dificilă de aplicat, iar ANSPDCP este autoritatea care poate aduce o doză ridicată de conștientizare pentru a realiza atât combaterea pandemiei prin creșterea încrederii publicului, cât și evitarea prejudiciilor asupra persoanelor vizate prin alinierea organizațiilor la prevederile RGPD.”

Silvia Uscov și Ruxandra Sava sunt de părere și că petiția justifică urgența și prin faptul că în perioada următoare urmează examenele elevilor, iar școlile și licee trebuie să aibă niște orientări în baza cărora pot organiza examenele în condiții de confidențialitate și cu impact minim asupra drepturilor și libertăților copiilor.

Petiția adresează 23 de întrebări către ANSPDCP cu privire la interpretarea GDPR în situația termoscanării acoperă subiect precum:

  • În ce condiții poate fi temperatura o dată cu caracter personal în contextul termoscanării?
  • Suntem în prezența unor date privind sănătatea?
  • Poate fi termoscanarea considerată, în anumite condiții, un proces decizional automatizat interzis de Legea nr. 190/2018?
  • Ce se întâmplă dacă o persoană își exercită dreptul de restricționare?
  • Ce sancțiuni riscă operatorii care implementează termoscanarea fără a alinia procesul la GDPR?
  • Ce tehnologii de termoscanare trebuie să aleagă companiile pentru a respecta RGPD?
  • Pot fi utilizate tehnologii din China?
  • Ar trebui operatorii să afișeze la intrare o plăcuță de informare?

Redăm cele 23 de întrebări din petiția adresată ANSPDCP mai jos:

  1. În interpretarea art. 4 pct. 1 RGPD, poate fi considerată temperatura corpului o „dată cu caracter personal”?
  1. În interpretarea art. 4 pct. 15 RGPD, poate fi considerată temperatura corpului o „dată privind sănătatea”?
  1. Observăm că există mai multe soluții pentru măsurarea O parte din acest soluții stochează date personale (camere termografice cu soft integrat, dispozitive de tip „wearable” – brățări, ceasuri etc). Considerați că pentru a se da eficacitate principiului reducerii la minimum a datelor (art. 5 alin. 1. lit c) RGPD), operatorii ar trebui să utilizeze tehnologia cu cea mai mică intruziune în viața privată? Dacă da, care ar trebui să fie criteriile de care ar trebui să țină cont operatorii atunci când achiziționează astfel de tehnologii?
  1. În interpretarea art. 4 pct. 15 RGPD, dacă tehnologiile prin care se măsoară temperatura prelucrează (stochează) date privind temperatura corpului, ne aflăm în situația unei prelucrări de date care intră sub incidența RGPD și Legii nr. 190/2018?
  1. În interpretarea art. 4 pct. 1, 2, 5, 6, 14 și 15 RGPD, măsurarea temperaturii angajaților sau vizitatorilor prin intermediul termometrelor digitale non-contact și neconsemnarea rezultatului într-un registru reprezintă o prelucrare de date cu caracter personal? Dacă da, care sunt temeiurile în baza cărora se poate realiza prelucrarea acestei categorii speciale de date cu caracter personal? Poate fi considerată această prelucrare ca respectând cerințele de proporționalitate cu obiectivul legitim urmărit în condițiile în care temperatura de peste 37.3 grade Celsius nu reprezintă un diagnostic pentru Covid-19?
  1. În interpretarea art. 4 pct. 1, 2, 5, 6, 14 și 15 RGPD, măsurarea temperaturii angajaților sau vizitatorilor prin intermediul termometrelor digitale non-contact și consemnarea rezultatului într-un registru sau captarea rezultatului măsurătorii și a persoanei prin camere CCTC reprezintă o prelucrare de date cu caracter personal? Dacă da, care sunt temeiurile în baza cărora se poate realiza prelucrarea acestei categorii speciale de date cu caracter personal? Poate fi considerată această prelucrare ca respectând cerințele de proporționalitate cu obiectivul legitim urmărit în condițiile în care temperatura de peste 37.3 grade Celsius nu reprezintă un diagnostic pentru Covid-19?
  1. În interpretarea art. 4 pct. 1, 2, 5, 6, 14 și 15 RGPD, măsurarea temperaturii angajaților sau vizitatorilor prin intermediul camerelor termografice (termoscanare) sau a dispozitivelor pe care le poarta persoana vizată asupra sa reprezintă o prelucrare de date cu caracter personal? Dacă da, care sunt temeiurile în baza cărora se poate realiza prelucrarea acestei categorii speciale de date cu caracter personal? Poate fi considerată această prelucrare ca respectând cerințele de proporționalitate cu obiectivul legitim urmărit în condițiile în care temperatura de peste 37.3 grade Celsius nu reprezintă un diagnostic pentru Covid-19?
  1. În interpretarea art. 3 alin. (1) din Legea nr. 190/2018 și art. 22 RGPD, măsurarea temperaturii angajaților sau vizitatorilor prin intermediul camerelor termografice (termoscanare) sau a dispozitivelor pe care le poartă persoana vizată asupra sa poate fi considerată un proces decizional automatizat? Dacă da, care sunt situațiile în care suntem în prezența unui proces decizional automatizat nepermis de art. 3 alin. (1) din Legea nr. 190/2018? Dacă ne aflăm în situația unui proces decizional automatizat, care e sancțiunea în temeiul RGPD?
  1. În interpretarea art. 5 alin. (1) lit. a), art. 12 și 13 din RGPD, dacă tehnologiile prin care se măsoară temperatura prelucrează (stochează) date privind temperatura corpului, este necesară informarea persoanelor înainte de prelucrare? Dacă da, considerați că ar fi necesară o plăcuță de informare la intrarea în locație? În lipsa notei de informare care este sancțiunea în temeiul RGPD?
  1. În interpretarea art. 5 alin. 1 lit d) RGPD („exactitate”), în situația în care termoscanarea ar da eroare, iar unui angajat i s-ar interzice accesul la locul de muncă, operatorul ar încălca principiul exactității și ar putea fi sancționat în temeiul RGPD? Dacă da, care ar fi sancțiunea în temeiul RGPD?
  1. În interpretarea art. 5 alin. 1 lit d) („exactitate”), în situația în care termoscanarea ar da eroare, iar unui elev i s-ar interzice accesul la un examen, operatorul ar încălca principiul exactității și ar putea fi sancționat în temeiul RGPD? Dacă da, care ar fi sancțiunea în temeiul RGPD?
  1. Potrivit art. 2 din Ordinul 3577/831/2020, pe durata stării de alertă, toți angajații din sectorul public și privat au obligația să accepte verificarea temperaturii corporale la intrarea în sediu, la începutul programului și ori de câte ori revin în sediu. RGPD instituie standarde ridicate pentru consimțământ,iar potrivit art. 4 pct. 11 din RGPD, consimțământul este „o manifestare liberă de voință, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate”. Considerăm că noua formă de consimțământ introdusă recent de Ministerul Muncii și-a pierdut caracterul liber. Considerați că noua formă de consimțământ introdusă de Ministerul Muncii intră în conflict cu prevederile RGPD?
  1. În interpretarea art. 18 din RGPD (dreptul la restricționare) și având în vedere că nu s-a derogat de la acest articol prin dreptul intern, dacă persoana vizată contestă exactitatea măsurării temperaturii, în ce măsură poate da operatorul eficacitate acestui drept având în vedere restricționarea prelucrării ar conduce către riscul infectării altor persoane în situația în care persoana suferă de COVID-19? Dacă operatorul refuză să răspundă la cererea de restricționare, operatorul ar încălca RGPD? Dacă da, care ar fi sancțiunea în acestă situație?
  1. În interpretarea art. 22 din RGPD și având în vedere că nu s-a derogat de la acest articol prin dreptul intern, are dreptul persoana vizată să se opună procesului decizional automat realizat prin termoscanare? Dacă operatorul refuză să dea eficacitate acestui drept, operatorul ar încălca RGPD? Dacă da, care ar fi sancțiunea în acestă situație?
  1. În interpretarea art. 25 din RGPD care ar fi măsurile pe care ar trebui să le pună în aplicare operatorul pentru a respecta RGPD?
  1. În interpretarea art. 26 din RGPD dacă doi operatori decid să folosească împreună o tehnologie de termoscanare, au calitatea de operatori asociați?
  1. În interpretarea art. 28 din RGPD, furnizorii de soluții de termoscanare pot avea calitatea de persoana împuternicită? Dacă răspunsul este da, ce garanții adecvate ar trebui să prezinte aceștia?
  1. În interpretarea art. 30 din RGPD, considerați că operatorii și persoanele împuternicite ar trebui să își actualizeze evidența activităților de prelucrare și cu privire la activitatea de termoscanare?
  1. În interpretarea art. 33 din RGPD considerați că este necesară notificarea ANSPDCP dacă intervine un incident de securitate asupra înregistrărilor cu privire la temperatura corpului?
  1. În interpretarea art. 34 din RGPD considerați că este necesară informarea persoanelor vizate dacă intervine un incident de securitate asupra înregistrărilor cu privire la temperatura corpului?
  1. În interpretarea art. 35 din RGPD și Deciziei ANSPDCP nr. 174/2018, considerați că este necesară efectuarea unei evaluări a impactului înainte de introducerea termoscanării? Dacă da, considerați că la efectuarea evaluării de impact ar trebui luată în calcul și opinia persoanelor vizate?
  1. În interpretarea art. 36 din RGPD, dacă rezultatul evaluării impactului prezintă riscuri mari pentru persoanele vizate, considerați că este necesară consultarea prealabilă ANSPDCP? În situația termoscanării, ce ar însemna riscuri ridicate cu privire la drepturile și libertățile persoanelor vizate?
  1. În interpretarea art. 44 -50 RGPD privitoare la transferurile internaționale de date, considerați că termoscanerele cu soft integrat achiziționate de la furnizori din China pot fi utilizate de către organizații? Care ar fi sancțiunea RGPD în situația în care o organizație ar încălca regulile tranferului internațional de date?

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here