Documente Academic
Documente Profesional
Documente Cultură
și vizitatorilor?
blog.avocatoo.ro/gdpr-covid-19-cum-masuram-temperatura-angajatilor-si-vizitatorilor
În vreme ce în multe state din Uniunea Europeană este interzis să iei temperatura
angajaților și a vizitatorilor, în România în acest lucru tocmai a devenit legal prin
Hotărârea CNSSU nr. 24/2020 și Legea nr. 55/2020, prin urmare angajatorii, operatorii
economici, instituțiile publice și private au obligația de a măsura temperatura
persoanelor care intră în incintă pentru a respecta obligațiile legale.
Însă acest lucru nu poate fi făcut începând de mâine pe ideea că va exista o persoană la
intrare cu un termometru și va decide cine intră și cine nu în clădire. Prelucrarea datelor
de temperatură corporală ridică mari problemele de implementare și de punere în
practică, pe care le vom aborda în cele ce urmează.
Ce date prelucrăm?
Suntem obligați să luăm temperatura persoanelor care intră într-o clădire, incintă sau
unitate, indiferent că vorbim de angajați, personal propriu sau vizitatori.
Prin urmare, toate persoanele care vor să intre în clădire trebuie să treacă prin
triajul epidemiologic constând în măsurarea temperaturii corporale.
Potrivit art. 9 alin. (1) din GDPR: se interzice prelucrarea de date cu caracter personal care
dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile
filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice
pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date
privind viața sexuală sau orientarea sexuală ale unei persoane fizice.
Datele privind temperatura corporală a unei persoane fac parte din categoria
datelor biometrice.
1/10
Măsurarea temperaturii se va face diferențiat
Art. 13 din Legea nr. 55/2020 vine cu 2 tipuri de reglementări:
De aici rezultă că pentru personalul propriu, inclusiv angajați sau persoane care
colaborează cu tine în incintă trebuie să ai un termometru non-contact.
În schimb, pentru vizitatorii poți să apelezi la orice fel de mijloc care poate scana
temperatura, inclusiv termometru clasic, electronic sau benzi care se pun pe frunte
pentru stabilirea temperaturii.
Amintim de omologare pentru că unul din principiile fundamentale ale GDPR este ca
datele prelucrate să fie exacte.
Ar trebui să fie folosite numai echipamente aprobate în acest scop și cu criterii care țin
cont de aceste niveluri de sensibilitate și precizie. Personalul care le folosește trebuie să
îndeplinească cerințele stabilite legal și să fie instruit în utilizarea lor.
Prin urmare, aparatele ar trebui să fie omologate, exact ca la orice alt tip de aparat
folosit pentru ducerea la îndeplinire a unor obligații legale, fix cum a fost la aparatele
radar. Având în vedere că nu avem asemenea norme și că nici nu se previzionează în
curând adoptarea lor, cel mai probabil fiecare operator va măsura temperatura cu ce are
pe la îndemână, caz în care inclusiv un aparat de măsurat temperatura ambientală pe care îl
găsim la Hornbach sau Dedeman este bun.
2/10
Din păcate însă, în piață există aplicat principiul reducerii de costuri din partea
operatorilor și văd această măsurare a temperaturii ca fiind ceva impus de către guvern,
fără a-i acorda foarte multă atenție, după cum afirmă Cristian Iosub, specialist în
securitatea datelor.
Prin urmare, temperatura momentan o poate măsura oricine, fiind o procedură non
invazivă și care nu presupune o pregătire prealabilă (de aceea suntem toți capabili să ne
cumpărăm termometre și să ne măsurăm temperatura).
Prin urmare, după cum am putut vedea, inclusiv agenții de pază din cadrul magazinelor
au procedat la efectuarea acestor testări. Nu intrăm în discuția dacă aceste atribuții au
fost menționate în mod expres prin fișa postului sau dacă persoanele respective sunt
remunerate în plus pentru această operațiune, mai ales că mulți din aceștia ajung să nu
mai ducă la îndeplinire sarcina pentru care au fost angajați, respectiv aceea de securitate
și pază.
Totuși, agenții de pază sau personalul delegat prelucrării acestor date ar trebui să aibă
un instructaj făcut astfel încât să poată identifica momentele în care aparatele de
măsurare pot indica valori de peste 37.3 grade Celsius (spre exemplu, temperatura
femeilor crește după ovulație).
Această dilemă nu dispare nici atunci când folosim camere termice, pentru că și acelea
trebuie reglate încât să preia temperatura din anumite zone ale corpului, iar majoritatea
au o limită de toleranță de +/- 5 grade celsius, ceea ce este destul de mult.
Mai exact:
Potrivit afirmațiilor furnizate de secretarul de stat Raed Arafat în data de 14 mai 2020,
orele 23.45, temperatura de 37.3 grade Celsius a fost luată drept indicator de la
Organizația Mondială a Sănătății dintr-un raport din data de 04 martie 2020, deși potrivit
ultimelor orientări din data de 24 aprilie 2020, nu se face niciun fel de referire la
temperatură în cazul triajului epidemiologic.
Un alt scop secundar este acela de a dovedi îndeplinirea obligațiilor legale pe care le
au operatorii atunci când prelucrează aceste date, pentru a decide dacă respectivele
persoanele pot sau nu să intre în clădire. De asemenea, trebuie să fii foarte atent la
procedura cu privire la temperatura angajaților pentru că te poate scuti de eventuale
litigii în viitor.
Aceste date nu ar trebui utilizate în alt scop. Acest lucru se aplică în special în cazurile în
care prelevarea temperaturii se realizează folosind dispozitive (cum ar fi, de exemplu,
camere termice) care oferă posibilitatea înregistrării și stocării datelor sau prelucrării
informațiilor suplimentare, în special date biometrice.
4/10
Stocarea temperaturii persoanelor
Ce date stocăm?
Vom distinge aici două situații: (a) situația în care persoanele au temperatura de sub 37.3
grade Celsius, si (b) situația în care persoanele au temperatura peste 37.3 grade Celsius.
Situația 1: în cazul în care persoanele au temperatura sub 37.3 grade Celsius, atunci nu
există date stocate, ci doar vor fi lăsate să intre în incintă.
Cu toate acestea, în cazul în care anumite organizații vor decide să facă un registru al
acestor temperaturi, cu scopul de a arăta în cazul unui control ulterior că au respectat
obligațiile, atunci aceste date vor trebui introduse și în registrul operatorului de
prelucrare a datelor. Spre exemplu, în cazul în care la intrarea în incintă, angajatorul va
dori să facă ”fișe de pontaj” în care să treacă inclusiv temperatura angajaților, situație pe
care nu o încurajăm, în linie cu practica celorlalte state membre și a principiilor GDPR
conform cărora prelucrarea datelor trebuie să fie mai puțin intruzivă.
Pe cât posibil, datele vor fi stocate sub formă minimală, prin utilizarea unor identificatori
de tipul inițialelor, cum ar fi M.A. în loc de Maria Andronescu. Varianta optimă ar fi
alocarea unui număr de identificare, precum 1247 pentru Maria Andronescu, dar
considerăm că este extrem de dificil de implementat, mai ales având în vedere timpul
scurt de conformare.
Situația 2. în cazul în care persoanele au temperatura peste 37.3 grade Celsius, ar trebui
să existe un registru separat pentru aceste intrări. Vorbim aici de un registru care să
arate conformarea la obligațiile legale, pe care organizațiile să îl aibă la îndemână atunci
când persoana respectivă va dori să facă o sesizare sau o plângere pentru că nu a fost
lăsat în incintă.
5/10
Acest lucru este deosebit de important deoarece vor exista foarte probabil destul de
multe cazuri în care persoanele vor dori să facă plângere invocând abuzuri din partea
autorităților sau eventuale conflicte la locul de muncă (dacă angajatorul te trimite acasă
pentru că spune că ai 37.4 grade și nu-ți plătește ziua respectivă de muncă, de exemplu). Iar
în cazul conflictelor de muncă, să nu uităm că sarcina probei revine angajatorului.
Spre exemplu, la intrarea într-o incintă ai camere termice instalate, setate pe temperatura
de 37.3 grade Celsius. Dacă trec 100 persoane prin acel punct de acces și 1 persoană are
37.5 grade Celsius temperatură, camerele termice vor indica persoana respectivă pe
monitor și eventual printr-un sistem de alarmă, iar personalul responsabil va putea
identifica persoana respectivă și va proceda la urmarea instrucțiunilor, adică să nu i
permită accesul în incintă.
Si aici, avem două situații: (a) camerele termice nu stochează înregistrarea și (b) camerele
termice stochează înregistrarea.
Situația 1: camerele termice nu stochează înregistrarea. Cum este cazul camerelor de tip
CCTV cu circuit continuu: practic ele merg în mod constant și doar alertează în momentul
în care ai un eveniment declanșator (temperatura de peste 37.3 grade), dar fără a stoca
imaginile respective.
Altfel stă situația în care există un eveniment declanșator, o persoană este identificată ca
având temperatura de peste 37.3 grade și trebuie să se ia măsuri. În această situație,
recomandarea este aceeași ca la termometrul non-contact: un registru cu nume,
prenume, ora, data și o poză de pe imaginile camerei termice, pentru a putea avea o
dovadă în cazul unei dispute ulterioare.
6/10
Situația 2: camerele termice stochează înregistrarea. În acest caz, stocarea trebuie
făcută la minimul perioadei necesare, dacă se poate să fie șterse în aceeași zi și doar cele
cu evenimente declanșatoare să fie păstrate, dar nu mai mult de 30 de zile, ca în cazul
camerelor video obișnuite.
Atenție însă! Trebuie clar identificat de la bun început ce tip de camere se folosesc și ce
date se stochează: dacă este pentru prima oară când operatorul introduce asemenea
camere care stochează și alte date, precum imagini, toate aceste prelucrări trebuie trecute
în registrul operatorului. Bineînțeles, efectuarea unei DPIA rămâne obligatorie și în acest
caz.
Pe ce perioadă le stocăm?
Așa cum precizam anterior, teoretic nu ar trebui să stocăm aceste date deloc, dacă se
poate. În cazul în care este absolut necesar să le stocăm sau dacă acestea vin la pachet
cu alte date prelucrate prin intermediul camerelor video, atunci perioada de stocare
trebuie să fie limitată la 30 de zile.
7/10
scopurile pentru care prelucrezi datele (de ce?)
temeiul în baza căruia prelucrezi datele (cu ce drept?)
persoanele vizate de această prelucrare (cine?)
perioada de stocare (cât?)
dacă partajezi datele personale mai departe și cui
dacă transferi datele personale mai departe și cui
dreptul persoanei de a depune o plângere la ANSPDCP
Cine XXX S.R.L./S.A. sau Autoritatea XYZ sau Instituția ABC etc.
prelucrează
datele?
Unde ne abc@numelecompaniei.ro
poți
contacta?
Temeiul îndeplinirea unei obligații legale, respectiv art. 6 alin. (1) din
prelucrării GDPR, coroborat cu art. 9 alin. (2) lit. i) din GDPR.
Mai exact:
– art. 13 din Legea nr. 55/2020
– punctul 2 lit. a) și punctul 3 lit. b) din Anexa Hotărârii nr. 24/2020
a CNSSU
[aici se pot da în mod expres articolele din documentele amintite
anterior]
8/10
Perioada – N/A (în cazul în care suntem în prezența măsurării prin termometru
de stocare non-contact, cameră CCTV)
– 30 de zile, în cazul în care există refuzul de acces în incintă, care
se poate prelungi în cazul în care în aceste 30 de zile există o
dispută/conflict/plângere administrativă, caz în care acele
elemente de date vor putea fi stocate până la stingerea respectivei
situații
Cu toate acestea, ca operator de date ai o serie de obligații noi, pe care ți le impune legea
și pe care trebuie să le respecți, iar prelucrarea datelor privind temperatura corporală
este una din ele.
9/10
Achiziționează aparate omologate la nivel național sau internațional
Verifică marja de eroare și informează persoanele despre asta
Oferă instructaj persoanelor care se ocupă de aceste măsurători
Fii transparent cu persoanele și scrie în nota de informare de ce prelucrezi datele,
cum le prelucrezi, cât le stochezi și ce faci cu ele mai departe
Nu uita să actualizezi nota de informare, dar și politica de prelucrare la nivel
companiei cu această nouă prelucrare, inclusiv la procedurile de stocare, retenție și
ștergere a datelor
Actualizează registrul cu noua prelucrare a datelor
Dacă folosești camerele termice, nu uita să faci o DPIA
Dacă instalezi camere termice și ai persoane furnizori de servicii care se ocupă din
exterior, nu uita de DPA (data processing agrement aka acord de prelucrare a datelor
personale)
Verifică periodic informațiile din partea autorităților și adaptează politicile și modul
de lucru
Chiar dacă poate că pare o pierdere de timp să faci și această documentare, gândește-te
că întotdeauna este mai bine să previi decât să tratezi .
Intra in comunitate
10/10