GDPR COVID-19: cum măsurăm temperatura angajaților

și vizitatorilor?
blog.avocatoo.ro/gdpr-covid-19-cum-masuram-temperatura-angajatilor-si-vizitatorilor

Ana-Maria Udriste May 17,

2020

În vreme ce în multe state din Uniunea Europeană este interzis să iei temperatura
angajaților și a vizitatorilor, în România în acest lucru tocmai a devenit legal prin
Hotărârea CNSSU nr. 24/2020 și Legea nr. 55/2020, prin urmare angajatorii, operatorii
economici, instituțiile publice și private au obligația de a măsura temperatura
persoanelor care intră în incintă pentru a respecta obligațiile legale.

Însă acest lucru nu poate fi făcut începând de mâine pe ideea că va exista o persoană la
intrare cu un termometru și va decide cine intră și cine nu în clădire. Prelucrarea datelor
de temperatură corporală ridică mari problemele de implementare și de punere în
practică, pe care le vom aborda în cele ce urmează.

Ce date prelucrăm?
Suntem obligați să luăm temperatura persoanelor care intră într-o clădire, incintă sau
unitate, indiferent că vorbim de angajați, personal propriu sau vizitatori.

Prin urmare, toate persoanele care vor să intre în clădire trebuie să treacă prin
triajul epidemiologic constând în măsurarea temperaturii corporale.

Temperatura corporală este o dată sensibilă

Ca toate prelucrările de date, colectarea datelor privind temperatura trebuie să fie
reglementată de principiile stabilite în Regulamentul General privind Protecția Datelor
(RGPD în română, GDPR în engleză) și, printre acestea, de principiul legalității.

Acest tratament trebuie să se bazeze pe o cauză legitimă a celor prevăzute în legislația

privind protecția datelor pentru categoriile speciale de date (articolele 6.1 și 9.2 din
GDPR).

Potrivit art. 9 alin. (1) din GDPR: se interzice prelucrarea de date cu caracter personal care
dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile
filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice
pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date
privind viața sexuală sau orientarea sexuală ale unei persoane fizice.

Datele privind temperatura corporală a unei persoane fac parte din categoria
datelor biometrice.

1/10
Măsurarea temperaturii se va face diferențiat
Art. 13 din Legea nr. 55/2020 vine cu 2 tipuri de reglementări:

pentru vizitatori: măsurarea temperaturii prin orice fel de mijloc, inclusiv

contact/non-contact

pentru personalul propriu: prin termometru non-contact.

De aici rezultă că pentru personalul propriu, inclusiv angajați sau persoane care
colaborează cu tine în incintă trebuie să ai un termometru non-contact.

În schimb, pentru vizitatorii poți să apelezi la orice fel de mijloc care poate scana
temperatura, inclusiv termometru clasic, electronic sau benzi care se pun pe frunte
pentru stabilirea temperaturii.

Ar trebui ca aparatele să fie omologate?

Teoretic, da, practic nu avem nicio instrucțiune în acest sens.

Amintim de omologare pentru că unul din principiile fundamentale ale GDPR este ca
datele prelucrate să fie exacte.

Principiul exactității, aplicat în acest context, presupune că echipamentul de măsură

utilizat trebuie să fie adecvat pentru a putea înregistra în mod fiabil intervalele de
temperatură considerate relevante, în cazul nostru de 37.3 grade Celsius.

Ar trebui să fie folosite numai echipamente aprobate în acest scop și cu criterii care țin
cont de aceste niveluri de sensibilitate și precizie. Personalul care le folosește trebuie să
îndeplinească cerințele stabilite legal și să fie instruit în utilizarea lor.

Spre exemplu: dacă iei un aparat de măsurare a temperaturii non-contact dintr-un

magazin și îl pui într-o cameră, vei putea observa că îți va da valori diferite în același loc.
Pentru că are o marjă de eroare, conform specificațiilor înscrise pe ambalaj și pentru că
există condiții de îndeplinit ca să măsoare temperatura exact, precum ca suprafața să nu
fie umedă (transpirată).

Gândește-te la aparatele de tensiune pe care le folosești acasă: ca să aibă o precizie cât

mai bună, trebuie să fii doctor în drept și să ai un echer pentru a calcula unghiul la care
să ții mână. Chiar și așa, marja de eroare este incredibil de mare.

Prin urmare, aparatele ar trebui să fie omologate, exact ca la orice alt tip de aparat
folosit pentru ducerea la îndeplinire a unor obligații legale, fix cum a fost la aparatele
radar. Având în vedere că nu avem asemenea norme și că nici nu se previzionează în
curând adoptarea lor, cel mai probabil fiecare operator va măsura temperatura cu ce are
pe la îndemână, caz în care inclusiv un aparat de măsurat temperatura ambientală pe care îl
găsim la Hornbach sau Dedeman este bun.
2/10
Din păcate însă, în piață există aplicat principiul reducerii de costuri din partea
operatorilor și văd această măsurare a temperaturii ca fiind ceva impus de către guvern,
fără a-i acorda foarte multă atenție, după cum afirmă Cristian Iosub, specialist în
securitatea datelor.

Prin urmare, temperatura momentan o poate măsura oricine, fiind o procedură non
invazivă și care nu presupune o pregătire prealabilă (de aceea suntem toți capabili să ne
cumpărăm termometre și să ne măsurăm temperatura).

Cine poate face aceste măsurători?

Cum preciza Cristian Iosub anterior, nu există o cerință specifică privind eventuale
certificări sau instructaje pe care să le aibă persoanele însărcinate cu această
măsurătoare.

Prin urmare, după cum am putut vedea, inclusiv agenții de pază din cadrul magazinelor
au procedat la efectuarea acestor testări. Nu intrăm în discuția dacă aceste atribuții au
fost menționate în mod expres prin fișa postului sau dacă persoanele respective sunt
remunerate în plus pentru această operațiune, mai ales că mulți din aceștia ajung să nu
mai ducă la îndeplinire sarcina pentru care au fost angajați, respectiv aceea de securitate
și pază.

Totuși, agenții de pază sau personalul delegat prelucrării acestor date ar trebui să aibă
un instructaj făcut astfel încât să poată identifica momentele în care aparatele de
măsurare pot indica valori de peste 37.3 grade Celsius (spre exemplu, temperatura
femeilor crește după ovulație).

Unde măsurăm temperatura?

În general, exista mici variații ale temperaturii, în funcție de zona în care a fost făcută
măsurătoarea. Temperatura resimțită pe frunte, prin atingere, este de regulă cu 0,3-0,5
grade Celsius mai scăzută decât temperatura orală.

Prin urmare, pentru a duce la îndeplinire o obligație legală, ar fi trebuit ca această

îndatorire să vină și cu orientări clare privind locul din corp unde se va face această
măsurare (ie. frunte, mână etc.) în cazul unui termometru non-contact.

Această dilemă nu dispare nici atunci când folosim camere termice, pentru că și acelea
trebuie reglate încât să preia temperatura din anumite zone ale corpului, iar majoritatea
au o limită de toleranță de +/- 5 grade celsius, ceea ce este destul de mult.

Concluzie: ar trebui să cauți aparate omologate la nivel internațional pe care să scrie

marja de eroare și să o pui la dispoziția persoanelor prin nota de informare.

Care e temeiul prelucrării acestor date?

3/10
Având în vedere obligația instituită prin Legea nr. 55/2020, rezultă că temeiul pentru
prelucrarea temperaturii este îndeplinirea unei obligații legale, respectiv art. 6 alin.
(1) din GDPR, coroborat cu art. 9 alin. (2) lit. i) din GDPR.

Mai exact:

art. 13 din Legea nr. 55/2020

punctul 2 lit. a) și punctul 3 lit. b) din Anexa Hotărârii nr. 24/2020 a CNSSU

Interesul legitim al companiei nu este un temei de prelucrare în acest caz; spre

exemplu DPA din Spania a precizat în mod expres că nu poate fi folosit un asemenea
temei de prelucrare pentru că nu poate exista o justificare rezonabilă a operatorului și
întotdeauna drepturile fundamentale ale persoanelor vizate vor fi afectate.

Consimțământul iarăși nu poate fi folosit drept temei de prelucrare, întrucât nu poate fi

un consimțământ acordat liber (ar trebui ca persoanele să se poată opune, fără ca
drepturile acestora să fie afectate, însă în contextul dat, acesta presupune că nu vor mai
intra în incintă și astfel sunt automat privați de anumite drepturi, cum ar fi dreptul la
muncă, la educație etc.)

Care este scopul prelucrării acestor date?

Prelucrarea datelor conform GDPR se face potrivit principiului limitării la scop. Acest
principiu presupune că datele (temperatura corporală) pot fi obținute doar în scopul
specific de a detecta posibile persoane infectate și de a evita accesul lor într-un
anumit loc și contactul acestora cu alte persoane.

Potrivit afirmațiilor furnizate de secretarul de stat Raed Arafat în data de 14 mai 2020,
orele 23.45, temperatura de 37.3 grade Celsius a fost luată drept indicator de la
Organizația Mondială a Sănătății dintr-un raport din data de 04 martie 2020, deși potrivit
ultimelor orientări din data de 24 aprilie 2020, nu se face niciun fel de referire la
temperatură în cazul triajului epidemiologic.

Scopul acestei prelucrări de date,respectiv identificarea acelor persoane care au peste

37.3 grade Celsius temperatură este de a preveni răspândirea și transmiterea noului
de tip de coronavirus SARS CoV-2.

Un alt scop secundar este acela de a dovedi îndeplinirea obligațiilor legale pe care le
au operatorii atunci când prelucrează aceste date, pentru a decide dacă respectivele
persoanele pot sau nu să intre în clădire. De asemenea, trebuie să fii foarte atent la
procedura cu privire la temperatura angajaților pentru că te poate scuti de eventuale
litigii în viitor.

Aceste date nu ar trebui utilizate în alt scop. Acest lucru se aplică în special în cazurile în
care prelevarea temperaturii se realizează folosind dispozitive (cum ar fi, de exemplu,
camere termice) care oferă posibilitatea înregistrării și stocării datelor sau prelucrării
informațiilor suplimentare, în special date biometrice.
4/10
Stocarea temperaturii persoanelor

Ce date stocăm?

Măsurarea temperaturii cu ajutorul aparatelor non-contact sau prin

contact, dar care nu permit înregistrarea
În cazul unui termometru non-contact, practic nu stocăm niciun fel de date cu privire la
persoanele respective, întrucât măsurarea se face instantaneu, fără posibilitatea de
memorare în cadrul termometrului non-contact.

Vom distinge aici două situații: (a) situația în care persoanele au temperatura de sub 37.3
grade Celsius, si (b) situația în care persoanele au temperatura peste 37.3 grade Celsius.

Situația 1: în cazul în care persoanele au temperatura sub 37.3 grade Celsius, atunci nu
există date stocate, ci doar vor fi lăsate să intre în incintă.

Recomandarea este să nu existe un registru în acest sens, adică persoanele să nu fie

înregistrate dacă temperatura este sub 37.3 grade, deoarece condiția presupune îndeplinirea
criteriilor de temperatură la intrare în incintă. Altfel spus, dacă ai sub 37.3 grade, intri
oricum în clădire.

Cu toate acestea, în cazul în care anumite organizații vor decide să facă un registru al
acestor temperaturi, cu scopul de a arăta în cazul unui control ulterior că au respectat
obligațiile, atunci aceste date vor trebui introduse și în registrul operatorului de
prelucrare a datelor. Spre exemplu, în cazul în care la intrarea în incintă, angajatorul va
dori să facă ”fișe de pontaj” în care să treacă inclusiv temperatura angajaților, situație pe
care nu o încurajăm, în linie cu practica celorlalte state membre și a principiilor GDPR
conform cărora prelucrarea datelor trebuie să fie mai puțin intruzivă.

Pe cât posibil, datele vor fi stocate sub formă minimală, prin utilizarea unor identificatori
de tipul inițialelor, cum ar fi M.A. în loc de Maria Andronescu. Varianta optimă ar fi
alocarea unui număr de identificare, precum 1247 pentru Maria Andronescu, dar
considerăm că este extrem de dificil de implementat, mai ales având în vedere timpul
scurt de conformare.

Situația 2. în cazul în care persoanele au temperatura peste 37.3 grade Celsius, ar trebui
să existe un registru separat pentru aceste intrări. Vorbim aici de un registru care să
arate conformarea la obligațiile legale, pe care organizațiile să îl aibă la îndemână atunci
când persoana respectivă va dori să facă o sesizare sau o plângere pentru că nu a fost
lăsat în incintă.

În acest context, ar trebui ca și pe partea datelor personale, operatorul să treacă în

registrul numele și prenumele complet al persoanei, ora, data, precum și temperatura
existentă sub forma unei dovezi fotografice, care să fie stocate.

5/10
Acest lucru este deosebit de important deoarece vor exista foarte probabil destul de
multe cazuri în care persoanele vor dori să facă plângere invocând abuzuri din partea
autorităților sau eventuale conflicte la locul de muncă (dacă angajatorul te trimite acasă
pentru că spune că ai 37.4 grade și nu-ți plătește ziua respectivă de muncă, de exemplu). Iar
în cazul conflictelor de muncă, să nu uităm că sarcina probei revine angajatorului.

Întrebare de reflecție: cât de discreționar rămâne angajatorul în acest context? Poate să

trimită angajații acasă, fără plată, pe motivul că temperatura corporală este peste 37.3
grade Celsius? Ce se întâmplă cu angajații care nu sunt lăsați să intre în clădire și au un
accident pe drum: intră acesta la accidente de muncă, iar angajatorul este răspunzător?

Măsurarea temperaturii cu ajutorul aparatelor non-contact, dar care

permit înregistrarea (camerele termice)
În primul rând, dacă decizi să implementezi un sistem de scanare termo cu ajutorul
camerelor termice, trebuie să știi că ai nevoie obligatoriu anterior de o DPIA (analiză a
impactului asupra prelucrării datelor personale).

Cum funcționează un asemenea sistem? Aceste sistem de control de acces la intrare

unică cu camere infraroșii instalate, utilizează o funcție de imagistică termică pentru a
măsura automat diferențele de temperatură între persoanele care trec prin aceste
sisteme și un punct de referință termic anterior stabilit.

Spre exemplu, la intrarea într-o incintă ai camere termice instalate, setate pe temperatura
de 37.3 grade Celsius. Dacă trec 100 persoane prin acel punct de acces și 1 persoană are
37.5 grade Celsius temperatură, camerele termice vor indica persoana respectivă pe
monitor și eventual printr-un sistem de alarmă, iar personalul responsabil va putea
identifica persoana respectivă și va proceda la urmarea instrucțiunilor, adică să nu i
permită accesul în incintă.

Si aici, avem două situații: (a) camerele termice nu stochează înregistrarea și (b) camerele
termice stochează înregistrarea.

Situația 1: camerele termice nu stochează înregistrarea. Cum este cazul camerelor de tip
CCTV cu circuit continuu: practic ele merg în mod constant și doar alertează în momentul
în care ai un eveniment declanșator (temperatura de peste 37.3 grade), dar fără a stoca
imaginile respective.

În acest caz, operatorul ar trebui să treacă în registru doar operațiunea de prelucrare.

Altfel stă situația în care există un eveniment declanșator, o persoană este identificată ca
având temperatura de peste 37.3 grade și trebuie să se ia măsuri. În această situație,
recomandarea este aceeași ca la termometrul non-contact: un registru cu nume,
prenume, ora, data și o poză de pe imaginile camerei termice, pentru a putea avea o
dovadă în cazul unei dispute ulterioare.

6/10
Situația 2: camerele termice stochează înregistrarea. În acest caz, stocarea trebuie
făcută la minimul perioadei necesare, dacă se poate să fie șterse în aceeași zi și doar cele
cu evenimente declanșatoare să fie păstrate, dar nu mai mult de 30 de zile, ca în cazul
camerelor video obișnuite.

Atenție însă! Trebuie clar identificat de la bun început ce tip de camere se folosesc și ce
date se stochează: dacă este pentru prima oară când operatorul introduce asemenea
camere care stochează și alte date, precum imagini, toate aceste prelucrări trebuie trecute
în registrul operatorului. Bineînțeles, efectuarea unei DPIA rămâne obligatorie și în acest
caz.

Ai toate registrele necesare în produsul de mai jos:

Pe ce perioadă le stocăm?
Așa cum precizam anterior, teoretic nu ar trebui să stocăm aceste date deloc, dacă se
poate. În cazul în care este absolut necesar să le stocăm sau dacă acestea vin la pachet
cu alte date prelucrate prin intermediul camerelor video, atunci perioada de stocare
trebuie să fie limitată la 30 de zile.

Trebuie să informăm persoanele?

Bineînțeles. Trebuie să informezi atât angajații, cât și vizitatorii despre prelucrarea
acestor categorii de date.

Acest lucru presupune să actualizezi nota de informare pe care o aveai în relație cu

persoanele vizate și să le-o aduci la cunoștință într-un mod cât mai clar și mai
transparent.

Recomandăm să nu informezi persoanele doar prin actualizarea notei de informare pe

website sau pe intranet, ci să efectuezi o informare activă, prin e-mail dacă vorbim de
angajați și prin postarea unor afișe în acest sens la intrarea în incintă, pentru ca
persoanele să fie informate.

Reamintim că nu este necesar un acord pentru prelucrarea acestor date sensibile,

întrucât nu poate fi un consimțământ valabil exprimat, în sensul că nu poate fi acordat în
mod liber, iar temeiul de prelucrare este îndeplinirea unei obligații legale.

Ce scriem în nota de informare?

Exact ce ar trebui să scriem la orice prelucrare, potrivit art. 13 si 14 din GDPR:

identitatea și datele de contact ale operatorului (cine prelucrează?)

datele de contact ale responsabilului cu protecția datelor (sau ale persoanei
responsabile, nu neapărat DPO dacă nu ai nevoie de unul)
elementele de date prelucrate (ce prelucrezi?)

7/10
 scopurile pentru care prelucrezi datele (de ce?)
temeiul în baza căruia prelucrezi datele (cu ce drept?)
persoanele vizate de această prelucrare (cine?)
perioada de stocare (cât?)
dacă partajezi datele personale mai departe și cui
dacă transferi datele personale mai departe și cui
dreptul persoanei de a depune o plângere la ANSPDCP

Asta bineînțeles, pe lângă obligațiile generale de informare.

Cum ar trebui să arate nota de informare?

Ca să îți fie mai ușor, le-am pus sub formă de tabel:

Cine XXX S.R.L./S.A. sau Autoritatea XYZ sau Instituția ABC etc.
prelucrează
datele?

Unde ne abc@numelecompaniei.ro
poți
contacta?

Scopul de a detecta posibile persoane infectate și de a evita accesul lor la

pentru care un anumit loc și contactul acestora cu alte persoane
îți
prelucrăm
aceste date

Temeiul îndeplinirea unei obligații legale, respectiv art. 6 alin. (1) din
prelucrării GDPR, coroborat cu art. 9 alin. (2) lit. i) din GDPR.
Mai exact:
– art. 13 din Legea nr. 55/2020
– punctul 2 lit. a) și punctul 3 lit. b) din Anexa Hotărârii nr. 24/2020
a CNSSU
[aici se pot da în mod expres articolele din documentele amintite
anterior]

Persoanele angajații, colaboratorii, vizitatorii, clienții, cu titlu generic

vizate persoanele care doresc să intre în incintă

Elementele – Temperatura corporală

de date – Nume, prenume (doar în cazul în care persoanei îi este refuzat
personale accesul în incintă, pe motivul ca operatorul să poată dovedi în fața
autorităților îndeplinirea obligației legale)

8/10
 Perioada – N/A (în cazul în care suntem în prezența măsurării prin termometru
de stocare non-contact, cameră CCTV)
– 30 de zile, în cazul în care există refuzul de acces în incintă, care
se poate prelungi în cazul în care în aceste 30 de zile există o
dispută/conflict/plângere administrativă, caz în care acele
elemente de date vor putea fi stocate până la stingerea respectivei
situații

Cu cine Aici va trebui personalizat în funcție de specificul activității

partajăm organizației: – către autoritățile competente, la cererea acestora,
aceste pentru verificarea gradului de îndeplinire a obligațiilor legale
informații? – către DSP, medicina muncii, medicul extern și alte autorități
competente în cazul în care există un angajat cu aceste simptome
și, potrivit procedurii interne, trebuie notificate autoritățile sau în
cazul în care un angajat este confirmat cu coronavirus și
autoritățile solicită date suplimentare
– furnizorii de servicii de tip cloud, dacă datele din sistemele de
monitorizare video sunt stocate pe un server de acest gen
– furnizorii de servicii care au implementat monitorizarea prin
intermediul camerelor, dacă acest serviciu este externalizat
– furnizorii de servicii care se ocupă de respectarea acestor
obligații legale, dacă de exemplu ai externalizat acest serviciu către
anumite persoane specifice, cum ar fi o firmă care să stea la intrare și
să facă acest triaj

Cui Cu autoritățile competente, sub formă anonimizată, dacă solicită

transferăm acest lucru.
aceste
informații?

Scurt check-list pentru organizații

Ca antreprenor, în perioada aceasta prelucrarea datelor cu caracter personal este
probabil printre ultimele tale griji.

Cu toate acestea, ca operator de date ai o serie de obligații noi, pe care ți le impune legea
și pe care trebuie să le respecți, iar prelucrarea datelor privind temperatura corporală
este una din ele.

Este important ca în toată această nebunie de moment să ai grijă de modalitatea în care

prelucrezi aceste date și să fii transparent față de angajați, colaboratori, clienți si
vizitatori.

În prelucrarea acestor seturi de date, ar trebui să ai în vedere următoarele aspecte:

9/10
 Achiziționează aparate omologate la nivel național sau internațional
Verifică marja de eroare și informează persoanele despre asta
Oferă instructaj persoanelor care se ocupă de aceste măsurători
Fii transparent cu persoanele și scrie în nota de informare de ce prelucrezi datele,
cum le prelucrezi, cât le stochezi și ce faci cu ele mai departe
Nu uita să actualizezi nota de informare, dar și politica de prelucrare la nivel
companiei cu această nouă prelucrare, inclusiv la procedurile de stocare, retenție și
ștergere a datelor
Actualizează registrul cu noua prelucrare a datelor
Dacă folosești camerele termice, nu uita să faci o DPIA
Dacă instalezi camere termice și ai persoane furnizori de servicii care se ocupă din
exterior, nu uita de DPA (data processing agrement aka acord de prelucrare a datelor
personale)
Verifică periodic informațiile din partea autorităților și adaptează politicile și modul
de lucru

Chiar dacă poate că pare o pierdere de timp să faci și această documentare, gândește-te
că întotdeauna este mai bine să previi decât să tratezi .

La avocatoo.ro suntem specializați în prelucrarea datelor cu caracter personal și a

securității cibernetice. Ajutăm companiile să se conformeze normelor în mod practic,
personalizat. Scrie-ne și hai să discutăm despre nevoile tale.

Intra in comunitate

10/10