Už niekoľko mesiacov bojujeme s pandémiou COVID-19. Prítomnosť tohto ochorenia sa u nakazenej osoby (okrem špeciálneho PCR alebo antigénového testovania) najľahšie odhaľuje prítomnosťou príznakov, ktorými je aj zvýšená teplota. Z uvedeného dôvodu sa za účelom ochrany verejného zdravia, zaviedla pri vstupoch do niektorých prevádzok a inštitúcií, metóda merania teploty zákazníkov a iných osôb vstupujúcich do týchto priestorov. Najčastejšie sa môžeme stretnúť s pracovníkom SBS služby, ktorý disponuje ,,ručným“ digitálnym teplomerom, ktorý vám priloží k blízkosti tváre alebo zápästia a skontroluje vašu teplotu, či nepresahuje mieru normy. Niektorí prevádzkovatelia sa však rozhodli zaviesť modernejší a rýchlejší spôsob kontroly teploty u osôb vstupujúcich do ich priestorov. Reč je predovšetkým o termálnych skeneroch alebo termálnych kamerách, ktoré sú vybavené špeciálnym softvérom za účelom analýzy a vyhodnotenia telesnej teploty osoby. Prevádzkovatelia tieto termálne kamery umiestňujú tak, aby zmerali teplotu každej vstupujúcej osobe. Často sú pri tomto spôsobe merania využívané veľké monitory, v ktorých vidíme svoj vlastný obraz so zaznamenanou hodnotou našej telesnej teploty. Pokiaľ sa naša teplota vymyká hodnotám normy, monitor zareaguje určitou formou upozornenia, najčastejšie výrazným červeným nápisom alebo červeným orámovaním našej tváre. Na prvý pohľad sa zdá, že ide o šikovný a rýchly systém odhalenia zvýšenej teploty, no pokiaľ sa naň pozrieme podrobnejšie, narazíme na niekoľko medzier. V prvom rade je často diskutovanou otázkou, nakoľko sú tieto kamery presné. Jedna a tá istá kamera totiž môže z rôznych uhľov rozmiestnenia namerať na jednej osobe rozdielne hodnoty telesnej teploty. No toto je iba pohľad technický. My sa však skôr zameriame na pohľad právny.
Je využitie termálnej kamery v súlade s GDPR?
Najskôr si musíme zodpovedať otázku, či pri meraní teploty teplomermi dochádza k spracúvaniu osobných údajov. Európsky výbor pre ochranu údajov (ďalej len ako ,,EDPS“) dáva do pozornosti rozdiely medzi meraním teploty klasickým ,,ručným“ digitálnym teplomerom a termálnou kamerou. Podľa EDPS, pri obyčajnom meraní teploty digitálnym alebo iným podobným zariadením, nedochádza k spracúvaniu osobných údajov, nakoľko nejde o spracúvanie osobných údajov automatizovanými prostriedkami, t.j. keď prevádzkovateľ (osoba spracúvajúca osobné údaje) dokáže uchovávať a spracúvať tieto osobné údaje v elektronickej forme.
„Základná kontrola telesnej teploty“ je určená iba na meranie telesnej teploty prostredníctvom neautomatizovaných prostriedkov, po ktorej nenasleduje registrácia, dokumentácia alebo iné spracúvanie osobných údajov jednotlivca. Takáto kontrola by v zásade nepodliehala rozsahu pôsobnosti nariadenia.“
Čo sa týka termálnych kamier, EDPS upozorňuje, že pri ich využívaní však už dochádza k spracúvaniu osobných údajov automatizovanými prostriedkami, a preto sa naň budú vzťahovať príslušné ustanovenia GDPR. Hlavnou podmienkou pri spracúvaní osobných údajov je, že prevádzkovateľ musí mať právny základ na ich spracúvanie. Pokiaľ nie je možné spracúvanie osobných údajov priradiť pod niektorý z právnych titulov stanovených GDPR, prevádzkovateľ nemôže používať termálne kamery. Ďalej je dôležité poznamenať, že hodnota telesnej teploty človeka sa nepovažuje len za obyčajný osobný údaj, ale za tzv. ,,citlivý osobný údaj“ týkajúci sa zdravia fyzickej osoby, a preto jeho spracúvanie podlieha prísnejším pravidlám.
Citlivé osobné údaje možno spracúvať len za predpokladu existencie niektorého z taxatívne menovaných právnych základov podľa článku 9 ods. 2 GDPR. Sú nimi:
- dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť;
- spracúvanie je nevyhnutné na účely plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva a práva sociálneho zabezpečenia a sociálnej ochrany, pokiaľ je to povolené právom Únie alebo právom členského štátu alebo kolektívnou zmluvou podľa práva členského štátu poskytujúcimi primerané záruky ochrany základných práv a záujmov dotknutej osoby;
- spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;
- spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby;
- spracúvajú sa osobné údaje, ktoré dotknutá osoba zverejnila;
- spracúvanie je nevyhnutné na uplatnenie právneho nároku alebo pri výkone súdnej právomoci;
- spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;
- spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky;
- spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti, poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná;
- spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,;
- spracúvanie je nevyhnutné na účel archivácie, vedeckého a historického výskumu alebo na štatistický účel.
Aj keď GDPR ponúka množstvo právnych základov, na báze ktorých k spracúvaniu citlivých osobných údajov môže dôjsť, EDPS v tejto konkrétnej situácii zastáva názor, že nie je možné použiť ani jeden z nich. Podľa stanoviska EDPS v súčasnosti neexistuje žiadny právny predpis, alebo iný z uvedených právnych základov, ktorý by umožňoval prevádzkovateľom spracúvať hodnoty telesnej teploty osôb prostredníctvom automatizovaných prostriedkov. Jediným spôsobom, akým k takémuto spracúvaniu môže dôjsť, je poskytnutie výslovného súhlasu dotknutej osoby so spracúvaním týchto svojich zdravotných údajov prostredníctvom automatizovaných prostriedkov.
Z uvedeného vyplýva, že pokiaľ sa prevádzkovateľom vyslovene neukladá určitým právnymi predpisom povinnosť merania teploty osobám vstupujúcim do ich priestorov priamo právny predpis, môžu prostredníctvom termálnych kamier merať teploty iba vtedy, pokiaľ s tým samotná dotknutá osoba vyjadrí súhlas. Pozor by si teda mali dať najmä nákupné centrá a iné podobné prevádzky, v ktorých dochádza k meraniu telesnej teploty pomocou termálnych kamier alebo termálnych skenov. Dotknutá osoba totiž nie je povinná podrobiť sa takémuto meraniu teploty a nie je možné voči nej ani vyvodiť nejakú formu zodpovednosti, prípadne ju do týchto priestorov nevpustiť.
Na záver je potrebné upozorniť, že pokiaľ prevádzkovateľ používa termálne kamery a disponuje zákonným právnym základom pre spracúvanie týchto osobných údajov, musí si okrem iného splniť aj ďalšie povinnosti, ktoré mu vyplývajú z GDPR. Napríklad je potrebné informovať dotknuté osoby o podmienkach spracúvania ich osobných údajov, viesť záznamy o spracúvateľských činnostiach či zaviazať svojich zamestnancov mlčanlivosťou. Ak sa potrebujete zorientovať v problematike ochrany osobných údajov a zistiť, aké povinnosti vám z ich spracúvania môžu vzniknúť, prečítajte si knihu GDPR v praxi alebo sa obráťte na našich špecialistov na GDPR.