Hrvatski centar za zaštitu osobnih podataka Feralis

Mjerenje temperature pri ulasku u prostore pravnog subjekta - KAKO JE TO REGULIRANO GDPR-om?

| Autor: Marko Krečak, stručnjak za informacijsku sigurnost i krizno upravljanje / Hrvatski centar za zaštitu osobnih podataka Feralis

U vrijeme epidemije koronavirusa mnogi subjekti u cilju provedbe preporuka od HZJZ mjere tjelesnu temperaturu posjetiteljima na ulasku u svoje prostore. Time žele dati doprinos u suzbijanju epidemije i nastoje povećati sigurnost svojih djelatnika, posjetitelja a indirektno i zajednice u cijelosti.

Kako bi mjerenje temperature bilo u skladu s GDPR-om, subjekti bi trebali ispuniti određene uvjete. Sa stajališta obrade podataka, u primjeni su dva osnovna načina mjerenja temperature uz uvjet da se identitet može direktno ili indirektno utvrditi.

Prvi način je mjerenje temperature pojedinaca bez bilježenja bilo kakvih podataka. Takvo mjerenje ne predstavlja obradu osobnih podataka prema GDPR-u. Međutim, mjerenje temperature s automatiziranim ili ručnim bilježenjem rezultata mjerenja predstavlja djelatnost obrade na koju se primjenjuju zahtjevi GDPR-a i za koju je potrebna zakonita osnova.

Kad je mjerenje temperature obrada podataka prema GDPR-u, subjekt je obvezan istaknuti obavijest o obradi osobnih podataka sa slijedećim informacijama:

  • identitet i kontaktne podatke voditelja obrade;
  • kontaktne podatke službenika za zaštitu osobnih podataka, ako je primjenjivo;
  • svrhe obrade kojoj su namijenjeni osobni podaci kako i pravnu osnovu za obradu;
  • legitimni interes voditelja obrade ili treće strane ako se obrada temelji na toj osnovi;
  • primatelje ili kategorije primatelja osobnih podataka, prema potrebi;
  • ako je primjenjivo namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji.

Treba istaknuti da je tjelesna temperatura osobni podatak koji govori o zdravstvenom stanju osobe, te ju GDPR ubraja u kategoriju posebno zaštićenih podataka. Privola nije poželjna kao pravna osnova jer je neobvezujuća za pojedinca, a bez nje nije dopušteno uskraćivanje primarne poslovne ili zakonske potrebe pojedinca. Obrada posebnih osobnih podataka je dopuštena ako je riječ o aktivnosti subjekta u javnom interesu ili na temelju prava EU-a ili nacionalnog prava i u tim relacijama subjekti trebaju pronaći svoju pravnu osnovu.

Budući da je COVID-19 često asimptomatski, mjerenje temperature je samo djelomično učinkovito u prevenciji COVIDA-19, jer povećana temperatura nije neosporni indikator COVIDA-19. S druge strane, zaražena osoba ne mora nužno imati povišenu temperaturu, ali može zaraziti druge osobe. Samim time, zdravstveni podaci prikupljeni mjerenjem temperature nisu apsolutno potrebni jer nužno nisu dokaz zaraženosti COVIDOM-19, a takva obrada nije dovoljno konkretna u svrhu sprječavanja epidemije COVIDA-19. Za obradu zdravstvenih podataka mjerenjem temperature od strane subjekta bi valjalo da zakonodavac popuni prazninu u zakonu kako bi takva obrada imala pravnu osnovu.

Iako su subjekti zakonski obvezni osigurati zdravlje i sigurnost u svojim prostorima, umjesto obrade zdravstvenih osobnih podataka mjerenjem tjelesne temperature poželjna je primjena primjerenih mjera. Primjeri takvih mjera mogu biti mjerenje temperature bez bilježenja podataka ili ispunjavanje zakonskih epidemioloških mjera.

Pri mjerenju temperature bez bilježenja podataka treba imati na umu da samo mjerenje nije obrada osobnih podataka prema GDPR-u, ali postupanje subjekta prema pojedincu nakon provjere temperature (npr. subjekt šalje zaposlenika kući i evidentira interno tu situaciju) predstavlja aktivnost obrade prema GDPR-u i za tu aktivnost subjekt treba imati pravnu osnovu u zakonu.

 

Marko Krečak, stručnjak za informacijsku sigurnost i krizno upravljanje / Hrvatski centar za zaštitu osobnih podataka Feralis


Podijeli: Facebook Twiter







Vremenska prognoza

Podaci preuzeti sa: www.yr.no


Web kamere

Pula

Pula: Golden Gate of
Pula: Golden Gate of

Pula

Pula: Amphitheater
Pula: Amphitheater