BezpečnosťManažmentOchrana osobných údajov/GDPRPrávo a legislatíva xa Publikované 11. novembra 2020 zobraziť celý profil

Od marca sa na podnikateľov hrnú nové a nové opatrenia každú chvíľu. Pokiaľ sa v nich strácate, určite v tejto situáci nie ste sám. Jedným z opatrení bolo aj zavedenie merania teploty osobám vstupujúcim do priestorov. Niektorým však tieto opatrenia meranie teploty určovali ako povinnosť a niektorým sa zavedenie merania teploty len odporúčalo.

My sa pri riešení danej problematiky zameriame na podnikateľov, ktorí sa rozhodli zaviesť kontrolu telesnej teploty osobám vstupujúcim do ich prevádzok len na báze odporúčania ÚVZ

Mnohí z vás sa rozhodli meranie teploty osobám vstupujúcim do priestorov vyriešiť prostredníctvom určitého zamestnanca alebo pracovníka SBS služby. Ten má k dispozícii „ručný“ digitálny teplomer, a pri každom vstupe novej osoby do prevádzky, k nemu jednoducho pristúpi a skontroluje jeho telesnú teplotu, či sa nevyniká hodnotám normy.

Trh však prináša aj nové a modernejšie riešenia, najmä termálne kamery alebo termálne skenery, kde prítomnosť zamestnanca alebo SBS pracovníka nie je potrebná. Špeciálne vyvinutý softvér, dokáže naraz zmerať telesnú teplotu aj viacerým vstupujúcim osobám.

Je ale zavedenie takýchto technológií v súlade s predpismi o ochrane osobných údajov? 

Nie každé nakladanie s osobným údajom je aj spracúvaním.

Je nepochybné, že pokiaľ na základe určitej nameranej telesnej teploty, možno priamo alebo nepriamo identifikovať konkrétnu fyzickú osobu, pôjde o osobný údaj, dokonca o osobný údaj týkajúci sa zdravia fyzickej osoby. Pôjde však o spracúvanie tohto osobného údaja? Je potrebné povedať, že nie každé nakladanie s osobným údajom je aj spracúvaním.

Napríklad meranie teploty „ručným“ digitálnym teplomerom pri vstupe osoby do priestorov, nie je spracúvaním osobných údajov. Prečo? Pretože nameraná hodnota sa nikam nezaznamenáva, neuchováva a ani sa s ňou ďalej nijak nemanipuluje. Takéto stanovisko predložil aj Európsky výbor pre ochranu údajov (ďalej len ako „EDPB„).

Čo sa však týka termálnych kamiertermálnych skenerov, jeho stanovisko už bolo značne odlišné. Pri meraní teploty termálnymi kamerami alebo skenermi dochádza k spracúvaniu osobných údajov automatizovanými prostriedkami, a z toho dôvodu sa naň budú vzťahovať všetky príslušné ustanovenia GDPR. 

zdroj: pixabay.com

Spracúvanie citlivých osobných údajov možno výlučne len na základe taxatívne vymedzených podmienok

Každé spracúvanie citlivých osobných údajov, ktorým, ako sme už spomenuli vyššie, je aj hodnota telesnej teploty, požíva zo strany GDPR zvýšenú mieru ochrany. Spracúvať ich možno výlučne len na základe taxatívne vymedzených podmienok. Inak povedané, musí existovať jeden z výslovne určených právnych základov na to, aby k ich spracúvaniu vôbec mohlo dôjsť. Týmito právnymi základmi sú: 

  • dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;
  • spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby; 
  • spracúvanie je nevyhnutné na ochranu  životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;
  • spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby;
  • spracúvajú sa osobné údaje, ktoré dotknutá osoba zverejnila;
  • spracúvanie je nevyhnutné na uplatnenie právneho nároku alebo pri výkone súdnej právomoci;
  • spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;
  • spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky;
  • spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;
  • spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,;
  • spracúvanie je nevyhnutné na účel archivácie, vedeckého a historického výskumu alebo na štatistický účel. 

Pokiaľ by teda neexistoval niektorý z vyššie uvedených právnych základov, k spracúvaniu hodnôt telesnej teploty nemôže dochádzať. EDPB sa k problematike vyjadril, že v súčasnosti možno z menovaných právnych základov využiť len a výlučne súhlas dotknutej osoby so pracúvaním týchto údajov. 

Položme si otázku

Koľko podnikateľov si od svojich zákazníkov alebo iných osôb vstupujúcich do jeho prevádzky žiada súhlas na to, aby sa podrobili meraniu teploty prostredníctvom termálnej kamery alebo termálneho skenera?

Z uvedeného vyplýva teda aj to, že sa osoba vstupujúca do priestorov podnikateľa nemá povinnosť podrobiť takejto kontrole teploty a pokiaľ sa jej nepodrobí, nemožno ju z priestorov vyviesť prípadne nevpustiť, ani voči nej nijak inak vyvodzovať zodpovednosť. Naopak zodpovednosť za nedodržanie ustanovení GDPR budete niesť vy. 

Pri spracúvaní osobných údajov sa na prevádzkovateľa, t.j. osobu spracúvajúca osobné údaje fyzických osôb, vzťahuje množstvo povinností, napríklad informovať dotknuté osoby o podmienkach spracúvania ich osobných údajov, viesť záznamy o spracúvateľských činnostiach či zaviazať svojich zamestnancov mlčanlivosťou. Pokiaľ máte v ustanoveniach GDPR chaos a neviete aké povinnosti sa na vás vzťahujú, odporúčame prečítať si knihu GDPR v praxi, prípadne sa obrátiť na špecialistov v oblasti GDPR

kniha GDPR v praxi