Wśród pomysłów na zwiększenie bezpieczeństwa odwiedzających w galeriach handlowych pojawia się możliwość stosowania np. kamer termowizyjnych, które umożliwiają wykrycie osób z podwyższoną temperaturą. Czy takie rozwiązanie jest dopuszczalne na gruncie obowiązujących przepisów? Czy operatorzy powinny zwrócić uwagę na jakieś regulacje prawne w tym obszarze?
– Co prawda wśród wytycznych nie ma obowiązku zainstalowania kamer, które dokonują automatycznego pomiaru temperatury, lecz zarządcy centrów handlowych mogą szukać sposobu, aby ograniczyć ryzyko kontaktu zakażonych z osobami zdrowymi. Należy pamiętać, że obiekty handlowe powinny być zabezpieczone na różnych poziomach – zalecane jest uruchomienie jak największej liczby wejść oraz zlikwidowanie barier, a także uruchomienie bezkolizyjnej organizacji wejścia i wyjścia do obiektu. W przypadku stwierdzenia wyraźnych oznak choroby jak uporczywy kaszel, złe samopoczucie, trudności w oddychaniu, osoba nie powinna zostać wpuszczona na teren obiektu. Osoby mające symptomy zakażenia SARS-CoV-2 nie powinny korzystać z miejsc publicznych, w tym przychodzić do sklepów – wskazuje w wytycznych Ministerstwo Rozwoju. Stosowanie dodatkowego monitoringu wydaje się być rozwiązaniem uzupełniającym wydane wytyczne
– komentuje mec. Paweł Fedczyszyn, adwokat w kancelarii Chałas i Wspólnicy.
Korzystanie z kamer termowizyjnych może ograniczyć liczbę osób, które będą chciały dokonać zakupów pomimo symptomów choroby. Rodzi się pytanie, czy dane z kamery na podczerwień stanowią dane osobowe w rozumieniu RODO? Jak zwykle w takim przypadku odpowiedź zależy od pewnych okoliczności towarzyszących.
– Istotne jest to, czy podmiot dokonujący rejestracji zapisuje dane z takiego monitoringu, czy dane o temperaturze ciała są zestawiane z innymi danymi o osobach oraz czy kamery umożliwiają zidentyfikowanie osoby na podstawie np. danych biometrycznych – wylicza mec. Fedczyszyn. I dodaje:
– W wielu przypadkach z takich narzędzi mogą zostać wygenerowane dane osobowe – często będą stanowiły one nawet dane wrażliwe, ponieważ rejestracja obrazu daje możliwość zidentyfikowania osoby fizycznej na podstawie jej cech fizycznych oraz przypisania konkretnej osobie danych na temat jej zdrowia (zgodnie z art. 4 pkt 15 RODO). Trudno zatem uniknąć stosowania do takich zapisów wymogów ogólnego rozporządzenia o ochronie danych osobowych. Konieczne jest zatem powiadomienie osób, które są rejestrowane, o samym fakcie dokonywania zapisu lub wykorzystywanej technologii oraz wskazania prawidłowej podstawy dla takiego przetwarzania. W przedmiotowej sytuacji należy rozważyć zastosowanie art. 9 ust. 1 lit i) RODO, który stanowi, że przetwarzanie danych dotyczących zdrowia jest dozwolone, gdy jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi – wyjaśnia mec. Fedczyszyn.
Nie można także zapomnieć o obowiązkach związanych z ryzykiem przetwarzania danych.
– Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Taka ocena jest wymagana w szczególności w przypadku przetwarzania danych osobowych, o których mowa w art. 9 ust. 1 RODO lub systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. Wobec powyższych wymogów warto określić pewne procedury wskazujące cel oraz czas przetwarzania danych lub ewentualne zrezygnować w zupełności z utrwalania zapisów z kamer. Należy podkreślić, że przyjęcie takiego mechanizmu wspomagającego prowadzenie walki z SARS-CoV-2 nie ma na celu wykrywania tożsamości określonych osób. Może zatem zostać przyjęta metoda, która technicznie nie będzie prowadziła do identyfikacji konkretnych osób fizycznych – temperatura ciała w oderwaniu od innych danych o osobie fizycznej nie stanowi danych osobowych, bowiem dopiero w wyniku zestawienia z innymi danymi będzie prowadziła do zidentyfikowania konkretnej osoby fizycznej zgodnie z art. 4 pkt 1) RODO, który wprowadza definicję danych osobowych – precyzuje mec. Fedczyszyn.
W razie wątpliwości jednak lepiej wprowadzić wszystkie wymagane elementy przez RODO, w tym zabezpieczyć należycie zebrane dane – nie wiemy w praktyce, jak mają działać te systemy nowej postaci monitoringu.
– Zgodnie z wymaganiami art. 32 RODO konieczne jest zabezpieczenie danych adekwatnie do ryzyka naruszenia praw i wolności osób fizycznych. W szczególności konieczne jest także zapewnienie, aby dane nie były łączone z innymi informacjami o osobach fizycznych, jeżeli jest to zbędne dla zrealizowania celu procesu i zbieranie informacji tylko w niezbędnym zakresie (zasada minimalizacji), a także aby do ich przetwarzania były dopuszczone osoby mające elementarną wiedzę o tym jak z danymi osobowymi postępować oraz posiadały odpowiednie upoważnienia. Nie można wykluczyć, że podobne technologie będą kiedyś stosowane powszechnie, warto się jednak zastanowić, czy są one odpowiednim sposobem wykrywania zakażeń wirusem, ponieważ gorączka może wskazywać także na wiele innych dolegliwości – konkluduje ekspert.
