Što o postavljanju termalnih kamera kaže GDPR?

Termalne kamere kao efikasan alat u borbi protiv pandemije

Pandemija COVID-19 virusa postavila je složene zahtjeve pred organizacije -  kako organizirati poslovanje, a da se istovremeno zaštiti zdravlje zaposlenika te partnera i kupaca koji dolaze u prostorije organizacije. COVID-19 ima nekoliko simptoma, a jedan od najčešćih je i povišena tjelesna temperatura. Upravo zato, u posljednje porasla je potražnja za kamerama koje imaju mogućnost izmjeriti tjelesnu temperaturu brzo, precizno i pouzdano. Termalne kamere učinkovito su oružje u borbi protiv širenja zaraze i mogu efikasno zaštititi zaposlenike na način da se na vrijeme spriječi širenje virusa

Koja je svrha i na koji način termalne kamere rade?

Termalne kamere imaju mogućnost izmjeriti temperaturu tijela u 1 sekundi za veći broj ljudi. Pritom je važno reći da je način mjerenja temperature s ovim kamerama vrlo precizan i da su odstupanja minimalna. Primjerice, ukoliko zaposlenik drži šalicu vruće kave ili čaja, izmjereni podatak neće biti pogrešan jer kamera mjerenje fokusira između očiju i na taj način se postiže visoka razina pouzdanosti i to beskontaktnim mjerenjem na siguran način. Tako se može osigurati pouzdana i sigurna okolina za zaposlenike, ali i na taj način utjecati na odgovornije ponašanje zaposlenika jer će im biti izmjerena temperatura prilikom dolaska na radno mjesto. Osim toga, moguće je sustav termalnih kamera povezati s evidencijom radnog vremena i na taj način ovaj sustav pretvoriti u kontrolu pristupa na način da se zaposleniku ne odobri ulazak u prostorije organizacije ukoliko ima povišenu tjelesnu temperaturu. Više o ovim kamerama možete pogledati na snimci webinara o termalnim kamerama koji je pripremljen kako bi se prikazale sve mogućnosti ovih kamera.

S obzirom na sve navedeno, postavilo se je pitanje kako takav sustav uskladiti sa zaštitom podataka, u prvom redu s Općom uredbom o zaštiti podataka (GDPR) i što to uopće o postavljanju termalnih kamera kaže GDPR. Kako bi se osiguralo ispravno tumačenje, treba skrenuti pozornost na to da je i Agencija za zaštitu osobnih podataka (AZOP) dala svoje mišljenje vezano za uvođenje termalnih kamera i način na koji je potrebno pristupiti ovom pitanju s aspekta zaštite osobnih podataka. Mišljenje AZOP-a možete pročitati ovdje

Prije svega, potrebno je istaknuti da GDPR kao osobni podatak definira svaki onaj podatak koji se odnosi na pojedinca čiji je identitet utvrđen ili se može utvrditi. Koristeći termalne kamere na način da se zaposlenicima mjeri temperatura, moguće je (posebno uz korištenje dodatnih podataka kao što su vrijeme dolaska i odlaska s posla i druge karakteristike pojedinca) utvrditi identitet pojedinca i zato se taj podatak smatra osobnim podatkom i na zapis s termalne kamere se u punom smislu primjenjuje GDPR. Prema tome, potrebno je pobrinuti se da postoji pravni temelj, odnosno zakonitost obrade takvog osobnog podatka na temelju jedne od točaka definiranih u članku 6 GDPR-a. Ono što je posebno važno istaknuti je to da se takav osobni podatak smatra podatkom o zdravstvenom stanju pojedinca te je s takvim podacima potrebno postupati kao s posebnom kategorijom podataka, onako kako to je to propisano za takve podatke, posebno u članku 9 koji definira obradu posebnih kategorija podataka i definira kada je obrada posebnih kategorija podataka dopuštena. Što to konkretno znači? Voditelj obrade osobnih podataka (organizacija koja uvodi termalne kamere) mora s povećanom pažnjom paziti na tehnički i organizacijski aspekt zaštite ovih podataka (primjerice, na način da samo određene osobe imaju uvid u takve podatke, ograničiti pristup korištenjem korisničkog imena i lozinke, implementirati audit log kako bi se pratilo tko je što i kada radio prilikom obrade takve vrste podataka, ukoliko je to moguće, svakako je preporuka i uvođenje pseudonimizacije i sl.). Pritom niti jedna od nabrojanih metoda ili tehnika zaštite osobnih podataka ne isključuje korištenje drugih metoda ili tehnika koje bi za cilj imale zaštitu osobnih podataka. Važno je istaknuti da je AZOP posebno skrenuo pažnju na duljinu pohrane takvih podataka, odnosno praćenje tih podataka. Naime, načela obrade osobnih podataka po GDPR-u uključuju, između ostalog, smanjenje opsega prikupljanja osobnih podataka i prikupljanje podataka u mjeri koja je nužna (nužnost i proporcionalnost prikupljanja osobnih podataka). Dakle, AZOP smatra da nije u skladu s GDPR-om čuvanje i praćenje takvih osobnih podataka već bi se trebala izvršiti jednokratna provjera bez nepotrebnog čuvanja osobnih podataka o izmjerenoj tjelesnoj temperaturi. Zato je s tog aspekta potrebno posebno na taj dio obratiti pozornost i paziti da se ne prijeđu granice nužnosti i proporcionalnosti obrade osobnih podataka.

Zaključno, zapis, odnosno podatak o izmjerenoj tjelesnoj temperaturi je osobni podatak, osobni podatak koji je zdravstvene prirode i zbog toga označen kao posebna kategorija osobnih podataka s kojima treba s posebnom pažnjom postupati (ne zaboravimo da je Sud Europske unije odredio da se pojam iz GDPR-a „podaci koji se odnose na zdravlje“ treba široko tumačiti). Pritom je važno naglasiti da je potrebno u tom slučaju voditi evidenciju aktivnosti obrade i napraviti procjenu učinka na osobne podatke.

Zanima Vas kako sve to možete odraditi i biti u skladu s GDPR-om? Na koji način pripremiti dokumentaciju i pripremiti sustav za mjerenje tjelesne temperature? Prijavite se na našu edukaciju ovdje i saznajte sve detalje o uvođenju sustava termalnih kamera i kako sustav uskladiti s odredbama GDPR-a. Edukaciju organiziramo zajedno sa stručnjacima iz tvrtke Presido d.o.o. koji imaju bogato iskustvo u usklađivanju različitih segmenata poslovanja s odredbama GDPR-a i ostalim zakonskim propisima.