maj5

W związku z pojawiającymi się pytaniami i wątpliwościami, czy stosowanie kamer termowizyjnych jest zgodne z obowiązującymi przepisami RODO, chcielibyśmy przestawić Państwu kilka faktów, które pomogą rozwiązać wątpliwości pojawiające się przy okazji instalacji kamer termowizyjnych.

Materiał ten został sporządzony w oparciu o obowiązujące aktualnie przepisy prawne (stan na dzień 4 maja 2020 r.) Obserwując jednak działania rządów i organów legislacyjnych zarówno w Polsce jak i w Unii Europejskiej może nastąpić zmiana niektórych z nich, chociażby RODO, w celu ułatwienia i wsparcia przedsiębiorców w przeciwdziałaniu epidemii COVID-19. Jeśli takowe zmiany zostaną wprowadzone przez organy państwa, zostaną one niezwłocznie uwzględnione w poniższym zestawieniu.

Czy kamery termowizyjne mogą być wykorzystywane w celu pomiaru temperatury osób przebywających w szkołach, urzędach lub innych budynkach użyteczności publicznej, np. bankach, przychodniach medycznych, muzeach, sklepach?

Główny Inspektor Sanitarny nie wydał jeszcze zaleceń ani wytycznych w zakresie mierzenia temperatury w szkołach, urzędach lub innych budynkach użyteczność publicznej. Jednak już teraz w wielu urzędach temperatura jest mierzona przy pomocy termometrów laserowych. Można przyjąć, iż urzędy, szkoły oraz inne miejsca użyteczności publicznej stanowią zakłady pracy, w których dopuszczalne jest mierzenie temperatury pracowników i interesantów, a zatem również korzystanie z kamer termowizyjnych.

Czy kamery termowizyjne mogą być wykorzystywane w celu pomiaru temperatury ciała personelu w innych miejscach pracy niż zakłady przemysłowe, takich jak biura, placówki handlowe i usługowe?

Tak, pomiar temperatury ciała przy wykorzystaniu kamer termowizyjny stanowi działanie zgodne z prawem. Jest obecnie niezbędne w celu zapewnienia pracownikom przez pracodawcę bezpiecznych i higienicznych warunków pracy.

Na jakiej podstawie prawnej można korzystać z kamer termowizyjnych w celu pomiaru temperatury ciała?

W przypadku stosowania kamer termowizyjnych w zakładach przemysłowych podstawą prawną przetwarzania szczególnej kategorii danych osobowych dotyczących temperatury ciała danej osoby jest art. 9 ust. 2 lit i. RODO w zw. z art. 8a ust. 5 pkt 2 i ust. 8 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (Dz.U. z 2019 r. poz. 59 oraz z 2020 r. poz. 322) oraz wydane dotychczas na ich podstawie wytyczne Głównego Inspektora Sanitarnego.

W przypadku pozostałych zakładów pracy podstawą prawną będzie art. 9 ust. 2 lit. b RODO w zw. z art. 207 § 1 i 2 Kodeksu pracy.

Na jakiej podstawie prawnej można stosować kamery w szkołach, urzędach lub innych budynkach użyteczności publicznej?

Szkoły, urzędy lub inne budynki użyteczności publicznej stanowią niemal zawsze zakłady pracy. W przypadku zakładów pracy podstawą prawną korzystania z kamer termowizyjnych w celu badania temperatury ciała jest art. 9 ust. 2 lit. b RODO w zw. z art. 207 § 1 i 2 Kodeksu pracy.

Czy mogę zapisywać dane dotyczące temperatury?

Co do zasady nie powinieneś zapisywać danych dotyczących temperatury ciała badanych osób. Takie działanie nie będzie zgodne z celem, dla którego wykonywane są pomiary temperatury. Przepisy RODO wymagają ograniczenia celu przetwarzania oraz minimalizację danych, tj. aby ich przetwarzanie było adekwatne, stosowne oraz ograniczone do tego, co niezbędne dla realizacji uzasadnionego prawnie celu.

Przechowywane danych w formie umożliwiającej identyfikację danej osoby może odbywać się przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jeżeli dokonana zostanie tzw. anonimizacja danych lub zostaną one zagregowane np. dla celów statystycznych w taki sposób, że nie jest już możliwa identyfikacja i przypisanie danych określonym osobom (nawet pośrednio), to nie będą one już stanowić danych osobowych i mogą być przechowywane bez ograniczeń.

Czy muszę informować o monitoringu termowizyjnym?

Jest to zawsze zalecane m.in. z uwagi na ograniczenie ryzyka naruszenia dóbr osobistych danej osoby w przypadku ew. konieczności interwencji służb porządkowych. Jeżeli w ramach monitoringu dochodzi do przetwarzania danych osobowych w rozumieniu RODO, to obowiązek taki wynika z przepisów prawa (tzw. obowiązki notyfikacyjne). Podstawowym obowiązkiem administratora danych osobowych jest przekazanie osobie, której dane dotyczą szeregu informacji dotyczący w szczególności sposobu i celu przetwarzania oraz posiadanych praw.

Jak w takim razie powinno odbywać się informowanie o monitoringu termowizyjnym?

W przypadku monitoringu zalecane jest zastosowanie tzw. „podejścia warstwowego”. Polega ono na oznaczeniu monitowanego miejsca wyraźnymi tablicami przedstawiającymi wyłącznie podstawowe dane (pierwsza warstwa) oraz pozostawienie dalszych informacji w innym miejscu (druga warstwa). Informacje z „drugiej warstwy” mogą być udostępnione np. w recepcji, czy na tabliczce, na której treść będzie sporządzona mniejszą czcionką lub na stronie internetowej do której link, np. w postaci kodu QR znajdować się będzie na tablicy z podstawowymi informacjami.

Przy projektowaniu tablicy informacyjnej można posłużyć się np. rekomendowanym wzorem rozpowszechnionym w Wytycznych 3/2019 w sprawie przetwarzania danych osobowych za pomocą urządzeń wideo z 29 stycznia 2020 r. dostępnych na stronie internetowej Europejskiej Rady Ochrony Danych lub polskiego Urzędu Ochrony Danych Osobowych.

Czy istnieją inne szczególne obowiązki jakie muszę wypełnić, aby korzystać z kamer termowizyjnych?

Jeżeli monitoring łączy się z przetwarzaniem danych osobowych, to administrator danych (oraz podmioty przetwarzające dane na jego zlecenie) podlega wszystkim obowiązkom wynikającym z RODO na ogólnych zasadach przy uwzględnieniu szczególnego charakteru danych dotyczących temperatury jako danych związanych ze stanem zdrowia.

W przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie niezbędne będzie ponadto sporządzenie formalnej oceny skutków oceny skutków monitoringu dla ochrony danych osobowych na podstawie właściwych przepisów RODO.

Czy stosowanie kamer termowizyjnych nie narusza dóbr osobistych?

Ochrona dóbr osobistych udzielana jest po spełnieniu następujących trzech podstawowych przesłanek:

  • istnienie dobra osobistego,
  • naruszenie lub zagrożenie dobra osobistego oraz
  • bezprawność działania, które naruszyło lub zagroziło dobru osobistemu.

Wizerunek rejestrowany przez monitoring wizyjny stanowi jedno z dóbr osobistych wymienionych wprost w przepisach prawa. Dobro osobiste w postaci wizerunku najczęściej doznaje naruszenia w zbiegu z naruszeniem innych dóbr osobistych – przedstawienie informacji naruszających cześć zewnętrzną lub prawo do prywatności.

Zważywszy na wykładnię przepisów przyjmowaną przez polskie sądy oraz zakładając, że obraz wizyjny z kamer nie będzie rozpowszechniany (upubliczniany), korzystanie z kamer termowizyjnych co do zasady nie będzie naruszać dóbr osobistych.

Czy stosowanie kamer termowizyjnych nie narusza prawa do wizerunku?

Zgodnie z właściwymi przepisami prawa autorskiego ochrona prawna wizerunku dotyczy wyłącznie jego rozpowszechniania (wówczas co do zasady wymagane jest zezwolenia osoby przedstawionej). Dobrem chronionym jest wolność decydowania danej osoby czy i w jakich okolicznościach jej wizerunek może być rozpowszechniony.

Rozpowszechnienie rozumiane jest jako prezentowanie wizerunku nieokreślonemu kręgowi osób (publiczne udostępnienie) za pomocą dowolnego środka przekazu, w tym za pośrednictwem sieci Internet (nawet jeżeli nie towarzyszy temu rejestracja obrazu). Jeżeli obraz nie będzie rozpowszechniany (upubliczniany), to korzystanie z kamer termowizyjnych (jak również monitoringu wizyjnego) nie wymaga zezwolenia osób na nim przedstawionych.

Co właściwie regulują przepisy o ochronie danych osobowych?

Przepisy o ochronie danych osobowych, w szczególności rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., tzw. ogólne rozporządzenie o ochronie danych (znane potocznie jako „RODO”) dotyczą ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przy uwzględnieniu swobodnego przepływu tych danych. RODO zarówno chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, jak i nie ogranicza ani nie zakazuje swobodnego przepływu danych osobowych na terenie Unii Europejskiej.

Należy pamiętać, że RODO ma zastosowanie wyłącznie do:

  • przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz
  • do przetwarzania danych osobowych w sposób inny niż zautomatyzowany tylko wówczas, gdy stanowią one część zbioru danych (lub mają stanowić część takiego zbioru). Ponadto zbiory danych, które nie są uporządkowane według określonych kryteriów nie są objęte zakresem RODO.

Czy informacje o temperaturze ciała to dane osobowe?

Dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Aby jednak mówić w kontekście określonych informacji, iż stanowią dane osobowe, musi istnieć uzasadnione prawdopodobieństwo ich połączenia z konkretną osobą przy uwzględnieniu m.in. technologii, kosztu i czasu potrzebnego do dokonania takiej identyfikacji. Identyfikacja danej osoby może mieć również charakter pośredni, tj. w oparciu o inne dane dotyczące te osoby takie jak przykładowo: imię i nazwisko, PESEL lub NIP, dane geolokalizacji, identyfikator internetowy lub nawet określone cechy szczególne określające tożsamość człowieka.

Sama informacja o temperaturze ciała w postaci wskazania kamery termowizyjnej wyposażonej w taką funkcjonalność nie może być uznana za dane osobowe, o ile w danych okolicznościach przypisanie tej informacji konkretnej osobie nie jest (nawet pośrednio) możliwe. Jeżeli natomiast informacje o temperaturze ciała dotyczą konkretnej zidentyfikowane osoby, to będą stanowić dane osobowe w rozumieniu RODO.

Zgodnie z RODO, dane osobowe dotyczące temperatury ciała stanowią szczególną kategorią danych związaną ze stanem zdrowia badanej osoby. Dane dotyczące zdrowia są interpretowane szeroko obejmując nawet informacje, które stają się danymi dotyczącymi zdrowia ze względu na ich wykorzystanie w określonym kontekście. Informacja o temperaturze ciała, w szczególności generowana w ramach działań podejmowanych w celu ograniczania rozprzestrzeniania się wirusa SARS-CoV-2 poprzez wykrywanie osób potencjalnych chorych – musi zostać uznana za informację dotyczącą zdrowia.

Kiedy można mówić o przetwarzaniu danych osobowych?

RODO definiuje „przetwarzanie” jako operację (lub zestaw operacji) wykonywanych na danych osobowych lub zestawach danych osobowych. „Operacja na danych” to m.in. zbieranie danych, ich utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, etc. Przetwarzanie może być wykonywane zarówno w sposób zautomatyzowany, jak i niezautomatyzowany (tj. manualnie).

Czy monitoring zawsze oznacza przetwarzanie danych osobowych dotyczących wizerunku?

Jeżeli monitoring prowadzony jest za pomocą przemysłowego systemu wizyjnego którego funkcją jest automatyczna analiza otoczenia (na podobieństwo zmysłu wzroku u ludzi), to w sensie informatycznym następuje przetworzenie fal elektromagnetycznych światła widzialnego (lub fal elektromagnetycznych o innej częstotliwości, np. podczerwieni) w sygnał cyfrowy. Taki sygnał może zostać następnie odczytany i wyświetlony na ekranie monitora. W przypadku gdy przetwarzany sygnał wizualny obejmuje podobiznę osoby, rozumianą jako dostrzegalne zewnętrznie fizyczne cechy człowieka, (tj. jego wygląd), można mówić o obrazowaniu wizerunku. Wizerunek co do zasady będzie stanowił dane osobowe, gdyż naturalnie stanowi podstawowy sposób identyfikacji tożsamości określonej osoby.

W dokumencie pt. „Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego” (dostępne pod adresem: https://uodo.gov.pl/pl/138/354), wydanym przez Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 57 ust. 1 lit. d RODO jako oficjalny materiał edukacyjny, wskazano m.in. (pkt 11, str.23), że: „Nie zawsze monitoring wizyjny wiąże się z przetwarzaniem danych osobowych. Rozporządzenie 2016/679 i krajowe przepisy szczególne można zastosować do monitoringu, jeśli jest on wykorzystywany w celu przetwarzania danych osobowych.

Jeżeli monitoring służy jedynie do podglądu danego miejsca, a nagranie nie jest zachowywane na twardym dysku komputera czy innym nośniku, to wówczas trudno mówić o przetwarzaniu danych osobowych. Z danymi osobowymi mamy do czynienia wówczas, gdy obraz z kamer zawiera wizerunki osób i jest utrwalony w systemie monitoringu na nośnikach danych.”

Opierając się na powyższym stanowisku można uznać, że monitoring wizyjny bez rejestrowania obrazu nie stanowi sposobu przetwarzania danych osobowych. Z kolei monitoring, któremu towarzyszy nagrywanie (rejestrowanie) sygnału jest co do zasady uznawany przez organy ochrony danych osobowych za formę inwazyjnego przetwarzania danych osobowych. Jeżeli system monitoringu wyposażony jest w narzędzia do analizy obrazu i automatycznej detekcji twarzy oraz przypisania wizerunku do zbioru danych osobowych, mamy do czynienia z przetwarzaniem danych biometrycznych podlegającemu szczególnym zasadom (tzw. „dane wrażliwe”).

Czy pomiar temperatury ciała przy pomocy kamer termowizyjnych łączy się z przetwarzaniem danych osobowych?

Badanie temperatury ciała przy wykorzystaniu kamer termowizyjnych, którego wyniki nie mogą być przypisane zidentyfikowanej lub możliwej do zidentyfikowania osobie, nie łączy się z przetwarzaniem danych osobowych i nie podlega ograniczeniom wynikającym z przepisów o ochronie danych osobowych. Taka sytuacja może wystąpić w szczególności wówczas, gdy obraz z kamery termowizyjnej nie pozwala na rozpoznanie tożsamości określonych osób lub nie podlega rejestracji.

Pomiar temperatury ciała przy wykorzystaniu kamer termowizyjnych może natomiast stanowić sposób przetwarzania danych osobowych jeżeli wyniki pomiaru mogą być przypisane określonej osobie – zidentyfikowanej lub możliwej do zidentyfikowania w danych okolicznościach, np. przy pomocy niezależnego (równoległego lub zintegrowanego ) monitoringu wizyjnego, kontroli monitorowanego wejścia za pomocą kart magnetycznych, obserwacji monitorowanego obszaru przez personel legitymujący osoby utrwalający dane na temat ruchu.

Czy przetwarzanie danych osobowych dotyczących temperatury ciała jest możliwe w świetle przepisów RODO?

Jeżeli monitoring łączy się z przetwarzaniem danych osobowych (np. gdy sygnał jest rejestrowany lub występują inne narzędzia umożliwiające zidentyfikowanie danej osoby), niezbędne jest istnienie podstawy prawnej dla przetwarzania szczególnej kategorii danych związanej ze stanem zdrowia badanej osoby. Takie podstawy prawnej zawarte są zamkniętym katalogu wyjątków, gdyż w świetle RODO co do zasady przetwarzanie szczególnych kategorii danych jest zabronione.

Jakie są zatem wyjątki?

Należy do nich m.in. przetwarzanie niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy oraz sytuacja, gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.

Inną podstawą prawną, która znajdzie szerokie zastosowanie w związku ze zapobieganiem rozprzestrzeniania i prewencją zakażeń podczas pandemii COVID-19 jest przetwarzanie niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego. RODO wymaga jednak w tym przypadku istnienia w prawie Unii lub w prawie państwa członkowskiego szczególnych regulacji umożliwiających przetwarzanie danych osobowych w ramach tego wyjątku.

Czy w polskim prawie pojawiły się takie przepisy regulujące?

Na podstawie przepisów szczególnych (tzw. „specustawa”) mających na celu przeciwdziałanie COVID-19, organy Państwowej Inspekcji Sanitarnej zyskały uprawnienie do wydawania wiążących zaleceń i wytycznych określających sposób postępowania w trakcie realizacji zadań w przypadku stanu zagrożenia epidemicznego, stanu epidemii albo w razie niebezpieczeństwa szerzenia się zakażenia lub choroby zakaźnej, które może stanowić zagrożenie dla zdrowia publicznego. Wszystkie osoby przebywające na terytorium Rzeczypospolitej Polskiej są obowiązane do stosowania się do ww. zaleceń i wytycznych.