Analiza ryzyka przetwarzania danych osobowych w związku z mierzeniem temperatury

Analiza ryzyka oraz ocena możliwości wprowadzenia mierzenia temperatury ciała

Zgodnie z zasadą pirvacy by design wprowadzenie nowego procesu przetwarzania powinno być realizowane w taki sposób, aby już w fazie modelowania tego procesu, czyli ustalania w jaki sposób będzie się odbywał, zapewnić właściwą i skuteczną ochronę danych osobowych (art. 25 RODO). Jeżeli analiza procesu przetwarzania wykaże, że może on wiązać się z wysokim ryzykiem naruszenia praw i wolności osób, należy także przeprowadzić ocenę skutków (art. 35 RODO). Biorąc pod uwagę, że mierzenie temperatury ciała nie jest niezbędne, nie jest też obowiązkiem administratora wynikającym bezpośrednio z przepisu prawa, zalecane jest podejście do zagadnienia z dużą ostrożnością, traktując to rozwiązanie jako wspierające i fakultatywne dla innych, niezbędnych działań podejmowanych w celu ograniczenia rozprzestrzeniania się w biurze firmy Gryf Sp. z o.o. grypy. Dla potrzeb analizy założono, że informacja o temperaturze ciała stanowi dane osobowe szczególnych kategorii, gdyż wynik jest pozyskiwany do oceny stanu zdrowia. Poniższe pytania mają na celu wspieranie administratora danych w ocenie możliwości wprowadzenia mierzenia temperatury ciała. Stanowią także formalne udokumentowanie procesu podejmowania decyzji. Katalog pytań nie jest zamknięty.

I. Ocena legalności, adekwatności i celowości wprowadzenia mierzenia temperatury ciała

1. Czy spełniony jest jeden z warunków legalizujących przetwarzanie, określonych w art. 9 ust. 2 RODO?

• TAK - Należy wskazać przesłankę legalizującą przetwarzanie danych wraz z uzasadnieniem jest spełnienia:

Przetwarzanie jest niezbędne do wykonania obowiązków i wykonywania szczególnych praw administratora lub osoby, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego, przewidującym odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą.

• NIE - Wprowadzenie procesu będzie niezgodne z przepisami RODO.

2. Czy jest określony konkretny i rzeczywisty cel wprowadzenia mierzenia temperatury ciała?

• TAK - Należy wskazać cel przetwarzania:

Zapobieganie rozprzestrzeniania się grypy w miejscu pracy.

• NIE - Każde przetwarzanie powinno być realizowane w konkretnym i określonym celu zgodnie z art. 5 RODO. Jeżeli cel mierzenia nie jest skonkretyzowany, należy wprowadzić inny środek zapobiegawczy w miejsce mierzenia temperatury ciała.

3. Czy mierzenie temperatury ciała jest niezbędne do osiągnięcia wskazanego celu przetwarzania, tzn. czy nie można tego celu osiągnąć w inny sposób?

• TAK, mierzenie jest niezbędne - Należy wskazać uzasadnienie niezbędności:

Pozwala na szybką identyfikację osób z podwyższoną temperaturą, co może być objawem grypy.

• Nie, ten cel można osiągnąć w inny sposób - Należy rozważyć wprowadzenie tej innej metody, szczególnie jeżeli jej wprowadzanie wiąże się z niższym ryzykiem naruszenia praw i wolności osób. Niezbędność jest istotnym czynnikiem oceny możliwości wprowadzenia nowego procesu przetwarzania.

4. Czy zostały zidentyfikowane ryzyka i zagrożenia związane z procesem mierzenia temperatury ciała?

• TAK - Należy wskazać ryzyka i zagrożenia:

Ujawnienie informacji o stanie zdrowia osobom nieupoważnionym, błędny pomiar temperatury, stygmatyzacja osób z podwyższoną temperaturą.

• NIE - Należy określić ryzyka i zagrożenia. Jest to niezbędne do ustalenia technicznych i organizacyjnych środków ochrony przetwarzanych danych.

5. Czy zostały określone możliwe negatywne skutki dla praw i wolności osób, w związku z mierzeniem temperatury ciała?

• TAK - Należy wskazać skutki:

Dyskryminacja, naruszenie prywatności, stres.

• NIE - Należy dokonać analizy możliwych skutków, przed przejściem do dalszej części oceny.

II. Analiza ryzyka mierzenia temperatury ciała

W pierwszej kolumnie należy wskazać zidentyfikowane ryzyka związane z procesem przetwarzania danych. W drugiej kolumnie należy określić prawdopodobieństwo materializacji tego ryzyka, w odniesieniu do obiektywnych przesłanek (np. czy ryzyko zmaterializowało się w przeszłości, czy u innych administratorów dochodziło do materializacji ryzyka, czy zostały wdrożone środki minimalizujące możliwość wystąpienia tego ryzyka). W trzeciej kolumnie ocenia się negatywny skutek materializacji ryzyka dla osoby, której dane dotyczą, tzn. jak bardzo jest on dotkliwy (należy wziąć pod uwagę nie tylko rodzaj skutku, ale także liczbę osób, których może dotyczyć, charakter informacji oraz kategorie osób, których dotyczy).

Proponowana skala do określenia P i DS: Niskie - 1. Średnie - 2. Wysokie - 3. Interpretacja wyniku Poziomu ryzyka Pr: Niski poziom ryzyka dla wyników Pr w przedziale 1-3. Średni poziom ryzyka dla wyników Pr w przedziale 4-6. Wysoki poziom ryzyka dla wyników Pr w przedziale 7-9

Ryzyko1 Prawdopodob Dotkliwość Ocena poziomu ryzyka (Pr) Pr = P * DS

ieństwo skutku dla osoby, której dane dotyczą (DS)

wystąpienia ryzyka (P)

Ujawnienie danych osobom nieupoważnionym 2 2 4

Błędny pomiar 1 1 1

Stygmatyzacja 1 2 2

Dyskryminacja 1 3 3

Naruszenie prywatności 2 3 6

III. Ocena możliwości wprowadzenia mierzenia temperatury ciała

Czy mierzenie temperatury ciała w zaproponowany sposób może z dużym prawdopodobieństwem wiązać się z wysokim ryzykiem naruszenia praw i wolności osób?

• TAK - Należy dokonać oceny skutków oraz podjąć działania minimalizujące ryzyko. Jeżeli zminimalizowanie ryzyka jest niemożliwe, należy określić inny sposób realizowania procesu mierzenia temperatury ciała lub zrezygnować z tego działania.

• NIE - Należy przejść dalej

Czy zostały opracowane szczegółowe zasady mierzenia temperatury ciała oraz postępowania w zależności od wyniku?

• TAK - Należy opisać te zasady:

Pomiar będzie dokonywany bezdotykowym termometrem przez wyznaczoną osobę. Wynik pomiaru nie będzie zapisywany. Osoby z temperaturą powyżej 37,5 stopnia Celsjusza zostaną poproszone o udanie się do domu.

• NIE - Na etapie modelowania procesu przetwarzania oraz oceny jego konieczności niezbędne jest opracowanie szczegółowych zasad. Jeżeli w momencie dokonywania tej analizy zasady nie zostały opracowane, dalsza ocena tego procesu jest niemożliwa.

Czy opracowanie zasady mierzenia temperatury ciała gwarantują poszanowanie prawa do prywatności osób, których dotyczą?

• TAK - Należy uzasadnić dlaczego:

Pomiar jest dokonywany w dyskretny sposób, a wynik nie jest ujawniany osobom trzecim.

• NIE - Wprowadzanie szczególnych środków ochrony nie może zmniejszać standardów ochrony danych osobowych. Nie może także wiązać się z naruszeniem lub ograniczaniem praw i wolności osób. Należy opracować odpowiednie standardy.

Czy opracowane zasady postępowania w przypadku określonych wyników pomiaru temperatury ciała gwarantują poszanowanie prawa do prywatności osób, których dotyczą?

• TAK - Należy uzasadnić dlaczego:

Informacja o podwyższonej temperaturze jest przekazywana tylko osobie zainteresowanej i lekarzowi zakładowemu.

• NIE - Wprowadzanie szczególnych środków ochrony nie może zmniejszać standardów ochrony danych osobowych. Nie może także wiązać się z naruszeniem lub ograniczaniem praw i wolności osób. Należy opracować odpowiednie standardy.

Czy mierzenie temperatury ciała będzie miało charakter ciągłego monitorowania?

• TAK, np. jest planowane wdrożenie kamer termowizyjnych - Pracownicy nie powinni podlegać ciągłemu monitorowaniu, szczególnie że nie służy ono zapewnieniu kontroli pracy, ani nie jest niezbędne do osiągnięcia celu przetwarzania. Nawet w przypadku wprowadzenia kamer termowizyjnych powinny być one zamontowane w takich miejscach lub dokonywać pomiaru w taki sposób, aby były to jednorazowe pomiary, a nie ciągłe monitorowanie. Należy odpowiednio dostosować proces do wymagań w zakresie ochrony prywatności monitorowanych osób.

• NIE, mierzenie będzie realizowane tylko w określonych momentach, np. podczas wejścia do biura - Należy wskazać, kiedy będzie dochodziło do pomiaru:

Przed rozpoczęciem pracy.

Czy pomiaru będzie dokonywać wyznaczona osoba?

• TAK - Należy dokonać oceny możliwości oddelegowania tej osoby do tych czynności oraz oceny ryzyka dla zdrowia tej osoby z uwzględnieniem przyjętych środków ochrony. Wprowadzenie dodatkowych środków ochrony w biurze firmy Gryf Sp. z o.o. nie może wiązać się ze zwiększeniem ryzyk dla wybranych pracowników.

• NIE - Należy wskazać, jak będzie odbywał się pomiar, np. samodzielnie lub z wykorzystaniem termometru bezdotykowego:

Pomiaru będzie dokonywała pielęgniarka zakładowa.

Czy wynik pomiaru będzie odnotowywany?

• TAK - Należy uzasadnić cel i legalność tego działania. Co do zasady ze względu na ryzyka związane z wprowadzeniem mierzenia temperatury ciała nie zaleca się odnotowywania wyników. Jeżeli do pomiaru są wykorzystywane kamery termowizyjne należy wprowadzić procedury ograniczające do minimum czas przetwarzania informacji, np. podgląd pomiaru na żywo przez upoważnioną osobę bez nagrywania wyników pomiaru.

• NIE - Założenie jest zgodne z art. 5 RODO.

Czy do danych będą miały dostęp tylko i wyłącznie uprawnione osoby?

• TAK - Należy wskazać te osoby (np. stanowiskami):

Pielęgniarka zakładowa, lekarz zakładowy.

• NIE - Proces wymaga zmiany, tak aby ograniczyć dostęp do informacji tylko i wyłącznie do uprawnionego, niewielkiego kręgu osób.

Czy wobec osób, których dane będą przetwarzane zostaną zrealizowane obowiązki informacyjne?

• TAK - Należy wskazać sposób realizacji obowiązków informacyjnych:

Klauzula informacyjna wywieszona przy wejściu do biura.

• NIE - Należy opracować klauzulę informacyjną oraz określić sposób realizowania obowiązków informacyjnych.

Czy zostały/zostaną zapewnione niezbędne i adekwatne do określonego poziomu ryzyka środki ochrony?

• TAK - Należy wskazać te środki:

Szkolenie dla pielęgniarki zakładowej, zabezpieczenie termometru przed dostępem osób nieupoważnionych.

• NIE - Należy określić adekwatne środki, a także to czy zostaną wdrożone przed rozpoczęciem procesu.

Czy jest możliwe zrealizowanie praw osób, których dane dotyczą?

• TAK - Należy wskazać, sposób postępowania w zależności od żądania:

Pracownik może wnieść sprzeciw wobec pomiaru temperatury.

• NIE - Jeżeli zrealizowanie praw będzie niemożliwe, należy przemodelować proces przetwarzania lub zrezygnować z jego realizowania.

Oceny dokonano w dniu: 2023-10-27

Podpisy osób, które dokonały oceny: Jan Kowalski, Anna Nowak

Decyzja administratora danych dla wprowadzenia mierzenia temperatury ciała w biurze firmy Gryf Sp. z o.o.:

Zatwierdzono.