Czy mierzenie temperatury klientom jest legalne?
2021-01-15
Nawet dysponując oświadczeniem klienta o wyrażeniu zgody na gromadzenie danych o stanie jego zdrowia, przedsiębiorca będzie przetwarzać te dane bez wymaganej przez RODO podstawy prawnej.
Zbieranie od klientów informacji na temat ogólnego samopoczucia, odczuwanych objawów i temperatury ciała jest przetwarzaniem danych szczególnego rodzaju – danych o stanie zdrowia, należących do kategorii tzw. danych wrażliwych. Przetwarzanie danych wrażliwych ze względu na ich charakter wymaga zachowania szczególnych środków ostrożności. Rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (dalej zwane RODO), wprowadza generalny zakaz przetwarzania danych wrażliwych, chyba że wystąpią szczególne przesłanki legalizujące zbieranie tych danych, określone w art. 9 ust. 2 RODO.
W dniu 5 maja 2020 r. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) opublikował stanowisko, z którego wynika, że przepisy o ochronie danych osobowych nie sprzeciwiają się przetwarzaniu danych osobowych pracowników i klientów w zakresie np. mierzenia temperatury czy wdrażania kwestionariusza z objawami chorobowymi. Zgodnie z opinią PUODO przetwarzanie danych klientów można oprzeć na art 9 ust. 2 lit. i) RODO, który wskazuje, że szczególne kategorie danych (dotyczące zdrowia) można przetwarzać, gdy jest to niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi, jeżeli wynika to z przepisów prawa. W opinii PUODO podstawę zbierania takich danych może w tym przypadku stanowić art. 17 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych – tzw. specustawy. Zgodnie z tym przepisem Główny Inspektor Sanitarny (GIS) posiada uprawnienia, aby oddziaływać na inne podmioty oraz na zmiany w obowiązujących przepisach, a także wskazywać na przyjmowanie właściwych rozwiązań w celu zwalczania epidemii.
Jeżeli inspektor sanitarny uzna, że niezbędne jest przyjęcie rozwiązania w postaci mierzenia temperatury klientom i pozyskiwania od nich oświadczeń o stanie zdrowia, może skorzystać z właściwego dla niego środka prawnego i nałożyć na przedsiębiorcę decyzję wprowadzającą obowiązek pomiaru temperatury i zbierania oświadczeń dotyczących zdrowia klientów. Taka indywidualna decyzja (wydana również na wniosek przedsiębiorcy) stanowić będzie upoważnienie do przetwarzania danych osobowych o stanie zdrowia klienta.
W ocenie PUODO podstawę przetwarzania danych dotyczących stanu zdrowia mogłyby stanowić również wytyczne wydawane przez GIS w związku z etapowym znoszeniem obostrzeń nałożonych w efekcie ogłoszonego stanu epidemicznego. W wytycznych z 13 maja 2020 r. dla funkcjonowania salonów fryzjerskich w trakcie epidemii SARS-CoV-2, wydanych na podstawie art. 8a ust. 5 pkt 2 ustawy z dnia 14 marca 1985 r. o Państwowej Inspekcji Sanitarnej (DzU z 2019 r. poz. 59, oraz z 2020 r. poz. 322, 374 i 567), GIS wprowadził co prawda zalecenia pomiaru i rejestrowania temperatury ciała oraz przeprowadzania i dokumentowania wywiadu, ale dotyczące wyłącznie pracowników salonów fryzjerskich. Zalecenia nie dotyczą postępowania w sprawie zbierania wrażliwych danych osobowych klientów korzystających z usług salonów.
WAŻNE!
wątpliwe jest przetwarzanie danych wrażliwych klientów salonów fryzjerskich na podstawie wyrażonej przez nich zgody (art. 9 ust. 2 lit. a). RODO wprowadza zasadę, że zgoda na przetwarzanie danych osobowych – jeżeli ma stanowić podstawę ich przetwarzania, musi być wyrażona przez osobę, której dane dotyczą dobrowolnie.
W myśl art. 7 ust. 4 RODO, oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi. Jeżeli zatem przedsiębiorca uzależni wykonanie usługi fryzjerskiej od wyrażenia zgody na zarejestrowanie temperatury klienta i wypełnienia przez niego oświadczenia o stanie zdrowia, to uznanie takiej zgody za podstawę przetwarzania danych o stanie zdrowia może być dyskusyjne. W rezultacie, nawet dysponując oświadczeniem klienta o wyrażeniu zgody na gromadzenie danych o stanie jego zdrowia, przedsiębiorca będzie przetwarzać te dane bez wymaganej przez RODO podstawy prawnej.
WNIOSEK
Mając na uwadze stanowisko PUODO, podstawę mierzenia i rejestrowania temperatury i zbierania informacji o stanie zdrowia klientów salonu fryzjerskiego, czyli przetwarzania danych wrażliwych, mogłoby stanowić wyłącznie skierowane do danego przedsiębiorcy działania służb sanitarnych (indywidualna decyzja lub ogólne wytyczne). Samodzielnie zbieranie tych danych przez przedsiębiorcę może zostać uznane za naruszające zasady ochrony danych osobowych.
podstawa prawna: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwiettnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119)
Odpowiedz ukazała się w internetowym i papierowym wydaniu dziennika ,,Rzeczpospolita”
