Într-un articol precedent, publicat pe Universul Juridic, care poate fi consultat aici, spuneam că monitorizarea temperaturii salariaților de către angajatori nu respectă reglementările în materie de protecția datelor, pentru că nu există un temei legal intern în baza căruia angajatorii să facă acest lucru. Ne menținem punctul de vedere pentru orice astfel de monitorizare efectuată anterior datei de 15 mai, 2020.
Odată însă cu publicarea Hotărârii 24/2020, prin care operatorii economici, inclusiv cei privați, sunt obligați să ia măsuri pentru ”asigurarea triajului epidemiologic constând în controlul temperaturii personalului propriu şi vizitatorilor, la punctele de control-acces în incinte”, lucrurile se schimbă. Această hotărâre (a cărei conformare la prevederile constituționale va naște cu siguranță ample dezbateri), creează temeiul legal intern care obligă angajatorii să controleze temperatura salariaților.
Raportat la această nouă obligație care, deși nu a fost instituită pe durata stării de urgență, devine incidentă sub starea de alertă, apreciem că, un prim pas spre conformare la prevederile legale în materie de privacy este alegerea mecanismului de control al temperaturii astfel încât să se asigure cea mai mică ingerință în viața privată a persoanelor. În măsura în care este posibil, operatorii economici ar trebui să încredințeze operațiunile de control al temperaturii unui furnizor de servicii medicale. Tot cu privire la alegerea mecanismului de control, trebuie manifestată atenție la faptul că Hotărârea 24/2020 obligă exclusiv la controlul temperaturii, nu și la păstrarea evidențelor rezultatelor acțiunii de control, astfel încât o asemenea activitate ar trebui evitată.
În acest scop, trebuie verificate cu atenție setările instrumentelor folosite. Deși, în teorie, setările ar trebui să fie realizate by default astfel încât să asigure o ingerință minimă în viața privată a persoanelor, în practică, acest lucru este rareori respectat.
De asemenea, anterior implementării mecanismelor care să asigure controlul temperaturii, operatorii economici trebuie să stabilească temeiul legal, să emită proceduri interne privind operațiunile de control al temperaturii, să semneze acorduri de confidențialitate cu personalul implicat în procedura de control, să instruiască acest personal cu privire la importanța păstrării confidențialității precum și să informeze persoanele vizate.
Cât privește obligația de informare, în opinia noastră, aceasta ar trebui făcuta printr-o abordare stratificată, similar informării privind monitorizarea CCTV, ceea ce presupune: existența unui anunț de avertizare care să conțină informații de bază cu privire la operațiunea de control al temperaturii precum și cu privire la sursele de unde pot fi colectate informații suplimentare. Aceste informații suplimentare ar trebui să fie disponibile persoanelor vizate anterior intrării în spațiul unde se va efectua un control al temperaturii.
Un model al anunțului de avertizare poate fi consultat aici, fiind emis după modelul recomandat de Comitetul European pentru Protecția Datelor (CEPD) în cazul monitorizării CCTV. Atragem însă atenția că acest anunț nu este suficient, el trebuind să fie însoțit de o nota de informare, care ar trebui să existe atât în format fizic (spre exemplu, afișată pe ușa de la intrare) cât și online, pe site-ul operatorului economic, iar anunțul de informare să facă trimitere la sursa online unde astfel de informații pot fi obținute.
Evident că, în funcție de metoda de control al temperaturii aleasă și în funcție de volumul monitorizărilor, poate fi necesară evaluarea impactului asupra protecției datelor (DPIA) și/ sau numirea unui DPO.