Mare agitație în aceasta frumoasă dimineață de 15 mai 2020. Au fost publicate pe site-ul Ministerului Afacerilor Interne măsurile de prevenire și control a infecțiilor aplicabile pe durata stării de alertă în cadrul unei anexe la Hotararea CNSSU 24/14.05.2020. In plus, Ordinul 3577/831/2020 emis de Ministerul Muncii si Protectiei Sociale si de Ministerul Sanatatii prevede ca angajatorul are obligatia sa desemneze un responsabil pentru verificarea temperaturii tuturor persoanelor care intră în unitate/instituţie si sa asigure triajul observaţional al angajaţilor prin verificarea temperaturii acestora la începerea programului de lucru şi ori de câte ori este necesar pe parcursul programului. Conform aceluiasi document, pe durata stării de alertă, pentru prevenirea răspândirii COVID-19, toţi angajaţii din sectorul public şi privat au obligaţia sa accepte verificarea temperaturii corporale la intrarea în sediu, la începutul programului şi ori de câte ori revin în sediu.

Dacă în țări europene, precum Belgia, Olanda și Franța, măsurarea temperaturii ca indicator al unei posibile infectări cu virusul SARS-Cov-2 este interzisă, în România această practică tocmai a devenit obligație legală pentru instituțiile și autoritățile publice, precum și operatorii economici publici și privați, altfel spus pentru toți operatorii care își desfășoară activitatea în incinte închise.

Din punct de vedere al prelucrării datelor cu caracter personal, în România, prelucrarea acestor date de face în regim de legalitate, fiind o obligație legală începând de azi. Dar, chiar dacă nu mai avem stresul identificării temeiului legal, această prelucrare trebuie să țină cont și să respecte principiile și obligațiile impuse de GDPR (principiul confidentialitatii, principiul transparentei, principiul minimalizarii si obligatia protectiei datelor de catre operator prin implementarea măsurilor tehnice si organizatorice adecvate ).

Măsurarea temperaturii angajaților

Toți operatorii care desfășoară activitate în spații închise, pe perioada stării de alertă, au obligația conform art. 2 (a) să "asigurare triajul epidemiologic constând în controlul temperaturii personalului propriu și a vizitatorilor, la punctele de control-acces în incinte". Practic, deducem de aici că la intrarea în incintă personal specializat (medic, asitent medical) sau instruit (portar, responsabil numit) va măsura temperatura și va condiționa accesul în incintă. Dacă vorbim de "triajul epidemiologic" care va cuprinde și verificarea altor indicatori decât temperatura, prelucrarea acestor informații se va face obligatoriu de către un cadrul medical, respectând confidențialitatea.

Ca o măsură organizatorică adecvată, recomandăm utilizarea unui tabel nominal care să conțină numele angajatului și dacă temperatura măsurată este sub 37,3 grade, sa se facă un simplu semn de tip "bifă", fără a nota valoarea măsurată și să îi fie permis accesul. Această listă ar trebui să fie păstrată într-o mapă închisă, accesul la aceasta fiind restricționat doar unui grup restrâns de persoane, în mod justificat. La finalul turei personalului specializat sau instruit care desfășoară aceste măsurători, această listă va fi predată unui responsabil unic cu arhivarea și păstrată pentru un termen de maxim 30 de zile, fiind pusă la dispoziția autorităților care realizează anchete epidemiologice, dacă este cazul.

Ca o măsură organizatorică adecvată, recomandam utilizarea numărului de marcă în locul numelui și prenumelui, instituind astfel o metodă de prelucrarea a datelor pseudoanonimizate și reducând nivelul de risc în cazul unei breșe de securitate prin accesarea datelor de către o persoană neautorizata. 

În cazul în care, temperatura măsurată depășește valoarea de 37,3 grade, personalul specializat sau instruit va interzice accesul angajatului în incintă, va nota în dreptul numelui valoarea măsurată ( eventual se va repeta manevra de măsurare pentru a elimina pe cât posibil erorile de măsurare).

Cea mai mare provocare este modul în care se pot realiza aceste măsurători în condiții de confidențialitate, asigurând astfel și dreptul la intimitate. Fiind o obligație legală, operatorul va putea efectua triajul epidemiologic constând în controlul temperaturii personalului propriu și fără a asigura dreptul al intimitate, dacă se face dovada că acest lucru este imposibil de realizat. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, se va face o informare prealabila a persoanelor vizate prin afisarea pictogramelor standard, termenul de stocare este de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

Măsurarea temperaturii vizitatorilor

Conform art. 2(a) obligațiile operatorilor care desfășoară activitate în spații închise, pe perioada stării de alertă, de a"asigurara triajul epidemiologic constând în controlul temperaturii" se aplică și vizitatorilor. În cazul lor, există un registru în care portarul completează datele de identificare și persoana vizitată. Recomandăm să nu fie schimbat scopul acestui registru prin completarea temperaturii. În schimb, se va utiliza un tabel nominal distinct care să conțină numele vizitatorului și dacă temperatura măsurată este sub 37,3 grade sa va face un simplu semn de tip "bifă", fără a se nota valoarea măsurată și să îi va fi permis accesul în incintă. Și în cazul acestei liste, ar trebui să fie păstrată în mod obligatoriu într-o mapă închisă, accesul la aceasta fiind restricționat doar unui grup restrâns de persoane, în mod justificat. La finalul turei personalului specializat sau instruit care desfășoară aceste măsurători, această listă va fi predată unui responsabil unic cu arhivarea și păstrată pentru un termen de maxim 30 de zile. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, termenul de stocare este de asemenea de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

În cazul în care, temperatura măsurată depășește valoarea de 37,3 grade, personalul specializat sau instruit va interzice accesul vizitatorului  în incintă astfel că nu mai este necesară înregistrarea numelui sau a oricărei alte informații în registrul de vizitatori sau in tabelul nominal privind verificarea temperaturii. 

Măsurarea temperaturii clieților

În cazul acestor persoane se aplică Art. 3 conform căruia instituțiile publice și operatorii economici care desfășoară activități comerciale/de lucru cu publicul ce implică accesul persoanelor în interiorul clădirilor sunt obligate să nu permită accesul persoanelor a căror temperatură corporală, măsurată la intrarea în incintă, depășește 37,3⁰C. Observăm că în acest caz nu se face referite la "triaj epidemiologic" astfel că măsurarea temperaturii este folosită ca un sistem de alertare și recomandăm să nu înregistrați sub nici o formă valoarea temperaturii. Aceste măsurători se vor face la intrarea în incintă, fiind condiționat accesul de o valoare mai mică decăt 37,3 grade. În cazul în care temperatura depășește această valoare, operatorul are posibilitatea de a înregistra zilnic anonimizat numarul persoanelor cărora le-a fost refuzat accesul, ca o dovadă a responsabilității față de măsurile publicate de autorități. În cazul în care măsurarea temperaturii se face prin metode automatizate, nu prin utilizarea termometrelor contactless, se va face o informare prealabila a persoanelor vizate prin afisarea pictogramelor standard, termenul de stocare este de maxim 30 de zile, accesul la înregistrări fiind limitat la persoanele special împuternicite de operator.

Totuși, ținând cont că aceste măsurători se vor face la intrarea în incintă cel mai probabil cu un termometru contactless, credem că va fi aproape imposibilă, în acest caz, asigurarea confidențialității și a dreptului la intimitate. Vom asista probabil cum clienții vor sta la rând și personalul desemnat de operator va face aceste măsurători, având în vedere obligația legală, fără a asigura confidențialitatea.

Concluzii

Operatorii nu au obligația de a anunța autoritățile privind identitatea persoanelor a căror temperatură măsurată la intrarea încintă depășește valoarea de 37,3 grade, astfel că, în cazul angajaților, considerăm suficientă arhivarea pentru un termen de maxim 30 de zile a înregistrărilor, fie că se fac pe suport de hârtie, electronic sau suprapuse peste imaginile video.

În cazul vizitatorilor și a clienților, nu există obligația identificării persoanelor cărora nu li se permite accesul în incintă în urma unei măsurători a temperaturii care depășește 37,3 grade. În cazul vizitatorilor cu valoarea măsurată sub 37,3 grade, va fi identificată persoana conform procedurii de acces vechi, ținându-se o evidență distinctă a acestor măsurători, fără a înregistra valoarea temperaturii.

În cazul clienților, aceștia nu vor fi identificați și înregistrați în lipsa unei obligații legale sau a unui interes legitim dovedit.

Operatorii vor avea o procedură scrisă actualizată privind accesul în incintă după data de 15 mai 2020, persoanele care vor realiza aceste măsurători fiind instruite în mod special privind protecția acestor informații din punct de vedere tehnic și organizatoric.

Cei doi ani care au trecut de la implementarea GDPR nu au reprezentat pentru noi doar provocari, ci au introdus si oportunitati de a invata lectii valoroase. Am intrebat specialisti precum Bogdan Manolea, Serban Popa, Ralucai Puscas, Stefan Iancu, Roxanei Mitroi sau Marius Dumitrescu despre aceste lectii pe care companiile, dar si specialistii in protectia datelor personale, le-au invatat in aceasta perioada si va invitam sa cititi ce ne-au raspuns.

Din perspectiva lui Bogdan Manolea, legal expert, “pentru firmele care chiar doresc sa fie compliant cu GDPR si le pasa de datele personale ale clientilor sau utilizatorilor, lectia principala este ca e un proces mult mai anevoios si mai de durata (pentru mentinerea conformitatii), mai ales daca business-ul este intr-o zona in care trebuie sa fii extrem de flexibil”.

Serban Popa, consultant GDPR la Unity Solutions, declara ca “e greu de spus pentru altii, dar, in privinta mea, am invatat si am repetat: nimeni nu este matur in acest domeniu; trebuie sa analizam punctual in functie de situatie si sa adaptam in functie de risc, de costul investitiei dar, mai ales, cu gandul primar ca protectia persoanei vizate este pe primul loc”.

In opinia Ralucai Puscas, avocat asociat la Filip & Company, “GDPR a educat consumatorii si populatia in general, astfel incat acum persoanele sunt mult mai atente la modul in care companiile le prelucreaza datele. Amenzile au jucat un rol important si exista un proces continuu de invatare pe baza spetelor care apar si a reactiei autoritatilor din spatiul UE. Ne putem astepta deci, ca aspectele legate de privacy sa fie analizate din ce in ce mai indeaproape de consumatori atunci cand instaleaza aplicatii pe telefoane mobile sau utilizeaza diverse produse digitale, conformitatea cu GDPR putand deveni chiar un diferentiator de business pentru companii”.

Specialistul mai adauga: “Alte invataminte pot fi desprinse daca ne uitam la motivele pentru care autoritatea din Romania, dar si cele la nivel european, au aplicat sanctiuni pana acum, intre acestea aparand in mod recurent neimplementarea masurilor tehnice si organizatorice adecvate, care sa asigure securitatea datelor cu caracter personal, lipsa sau nevalabilitatea temeiului legal al prelucrarii ori nerespectarea drepturilor persoanelor vizate. Acestea sunt doar exemple si poate, din perspectiva companiilor, o buna ocazie de a reverifica modul in care au fost implementate anumite cerinte, in cadrul programului de conformitate in derulare”.

 Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, afirma ca: “Cea mai importanta lectie care trebuie invatata este aceea ca asigurarea conformarii trebuie sa aiba ca scop foarte clar protejarea persoanele fizice – nu se rezuma la formalitati, proceduri si documente, este un efort de echipa – ca responsabilitatea apartine fiecarui membru al organizatiei si ca protectia datelor trebuie sa devina cat mai curand o parte importanta a culturii organizationale a fiecarui operator. Si ca de obicei, seriozitatea cu care este tratata protectia datelor personale in organizatie este egala cu tonul, mesajul, pe care il da top managementul”.

 Din punctul de vedere al Roxanei Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, “probabil ca una dintre cele mai importante lectii pe care jucatorii in domeniu au aflat-o a fost aceea ca fiecare caz in parte are specificul sau si trebuie tratat cu atentie sporita. Este cert faptul ca documente cu aplicabilitate generala nu pot cuprinde aspectele specifice fiecarui domeniu in parte si nu pot acorda o protectie sporita business-ului, de aceea mereu se recomanda o analiza particulara asupra activitatii fiecarei companii in parte, cartografierea fluxurilor de date si a proceselor, identificarea gap-urilor existente, ca abia apoi sa se recurga la redactarea politicilor si documentelor necesare si la implementarea efectiva a acestora. In orice caz, recomandarea noastra mereu a fost aceea de a trata in mod individual si distinct activitatile de prelucrare si de a analiza de la caz la caz gradul de conformare a fiecarei entitati implicate in proces”.

Marius Dumitrescu, specialist GDPR, constata ca, “in ultimele luni, de cand a fost recunoscuta oficial pandemia Covid -19, s-a vorbit despre GDPR mai mult decat in toata perioada de cand a intrat in vigoare Regulamentul UE 679/2016 si este trist ca a fost nevoie de acest Coronavirus ca sa-i acordam atentia pe care o merita.

Societatea in care traim s-a schimbat, fiind supusa la unul din cele mai dificile teste de stres. Frica este cea care a obligat societatea noastra sa se adapteze si sa se maturizeze fortat, facand, in primul rand, un salt mare catre digitalizare. Vorbim astazi mai mult ca niciodata despre tele-munca, tele-medicina, tele-educatie si, mai ales, despre stirile false.

Trebuie sa realizam si ca toata aceasta digitalizare, pe repede inainte, vine la pachet cu asumarea unor riscuri de care mi-as dori sa fim constienti inca de la inceput.

Nu cred ca suntem pregatiti inca sa imbratisam digitalizarea si sa ne folosim la maxim de beneficiile acesteia. In urma recomandarilor autoritatilor din Romania, mai multe companii au decis sa accepte, de pe o zi pe alta, ca angajatii sa lucreze de acasa. Din punct de vedere legal eram pregatiti, legislatia romana avea prevederi clare privind tele-munca si cele mai multe firme au semnat acum cu fiecare angajat doar un act aditional la contractul de munca, pentru a indeplini aceasta formalitate birocratica. Foarte putine firme au investit in securizarea echipamentelor si a cailor de comunicare, alegand deseori solutiile cele mai rapide si ieftine, utilizand de cele mai multe ori echipamentele proprii ale angajatilor.

Revenind la domeniul protectiei datelor, chiar daca DPO-ul este captiv intre obligatiile legale impuse de legile organice, care pot limita drepturile persoanelor si principiile si obligatiile GDPR, exista, in opinia mea, o reteta pentru a asigura un echilibru intre toate aceste reglementari:

1. Implicarea DPO-ului. El este specialistul care astazi poate sa consilieze si sa ghideze organizatia in respectarea GDPR si pastrarea acestui echilibru cu obligatiile legale si interesele comerciale.
2. Respectarea celor sapte principii fundamentale ale GDPR. Aceste principii trebuie sa devina o realitate, trebuie sa fie implementate in orice fel de procedura, ca niste filtre care trebuie aplicate inainte de a lansa orice tip de document, orice fel de procedura.
3. Informarea persoanelor vizate. Este foarte usor sa investim in aceasta informare prealabila si sa obtinem, practic, o implicare si motivarea acestor persoane, pentru ca, in fond, toate aceste proceduri restrictive sunt in interesul lor, al protectiei datelor lor cu caracter personal.
4. Instruirea persoanelor si obtinerea de garantii adecvate. Trebuie sa fim foarte atenti atunci cand datele angajatilor nostri, sau datele clientilor nostri, datele vizitatorilor nostri sunt prelucrate de catre imputernicitii nostri ca operatori si sa ne asiguram ca sunt implementate masuri tehnice si organizatorice de protectie si securitate a acestor date personale pe tot procesul de prelucrare.
5. Evaluarea nivelului de prelucrare a datelor (de exemplu, daca este excesiv) si identificarea unor metode mai putin intruzive de prelucrare a datelor personale, fara a creste birocratia. Sa nu uitam ca DPO-ul este cel care poate evalua daca discutam de un nivel excesiv de prelucrare a datelor, trebuie sa incercam sa limitam inscrisurile, astfel incat sa nu crestem birocratia doar de dragul de a ne acoperi cu documente justificative privind respectarea acestei legi. Respectarea tuturor celorlalte principii GDPR s-ar face mult mai usor daca principiul minimizarii ar fi respectat intocmai si pun accent mai ales pe acest lucru, deoarece noi, romanii, companiile romanesti, institutiile statului am ridicat birocratia aproape la nivel de traditie. Nu tot ce e mult e si bun, un singur document bine intocmit si cu responsabilitate ma protejeaza la fel de bine ca zece documente pline de date personale nefolositoare, dar colectate pe sistemul <<sa fie>>.”

Marius Dumitrescu concluzioneaza ca aceasta reteta nu se aplica exclusiv in aceasta perioada de pandemie, cele cinci recomandari fiind aplicabile oricarei organizatii care isi propune in urmatorul an sa isi adapteze cultura organizationala si sa imbratiseze principiile GDPR.

Specialistii in protectia datelor au fost cei care au lucrat alaturi de organizatii in procesul de obtinere si mentinere a conformitatii GDPR. Am vrut sa stim care a fost, in opinia lor, cea mai mare provocare cu care s-au confruntat companiile in acesti doi ani.

In opinia lui Bogdan Manolea, legal expert, cea mai mare provocare a fost: “Sa inteleaga ceea ce trebuie sa faca. Efectiv, de maine. Companiile se asteapta sa primeasca un checklist clar si definitiv, impreuna cu un pret ferm, pe care sa-l plateasca o data si gata. Dar raspunsul depinde atat de mult de practicile efective de prelucrare a datelor, care sunt diferite de la companie la companie si de masurile de securitate corelative, incat eu gandesc ca ar fi neprofesional sa zici ca stii ce trebuie sa faca de la prima intalnire. Pentru ca, de fapt, nu stii si o sa-ti dai seama pe parcurs”.

La capitolul provocari, Serban Popa, consultant GDPR la Unity Solutions, mentioneaza: “Micsoarea importantei efortului de analiza si consultanta, a cartografierii proceselor interne cu toate elementele descriptive aferente.”

Raluca Puscas, avocat asociat la Filip & Company, afirma: “Intr-adevar, ne gandim in primul rand la obtinerea conformitatii cu cerintele GDPR, care presupune o serie intreaga de activitati, de la maparea datelor, analize de risc, evaluari ale impactului asupra protectiei datelor, implementarea de politici si documente, dar apoi si la mentinerea acesteia, care este un proces continuu. De multe ori, toate acestea presupun schimbarea modului de lucru in organizatie si definirea unor noi fluxuri de colaborare intre departamente, implicand si responsabilul pentru protectia datelor. Chiar si dupa ce toate politicile, procedurile si evaluarile vor fi facute si toate documentele vor fi in ordine, ramane provocarea de a incorpora cerintele de privacy in cultura organizatiei si anume, de a acorda atentie protectiei datelor clientilor, angajatilor si tuturor persoanelor ale caror date le prelucreaza.

Acest lucru presupune atat lucruri aparent simple, cum ar fi acela de a nu solicita semnarea unui consimtamant in cazul in care nu este de fapt necesar (in ideea ca poate e mai sigur asa), ori de a pastra diverse acte in baza de date (ca poate mai trebuie vreodata, desi perioada de stocare a expirat) si pana la lucrurile mai complexe care pot presupune investitii din partea companiei, cum ar fi stergerea datelor la momentele de expirare a perioadelor de detinere prevazute in registru”.

Pentru Stefan Iancu, consultant GDPR in cadrul companiei iPrivacy, “Sunt trei variabile care influenteaza major succesul programelor de conformare, si anume: desemnarea responsabilului cu protectia datelor cu respectarea cerintelor din Regulament (expertiza, independenta, evitarea conflictelor de interese, asigurarea implicarii DPO in timp util in toate aspectele privind protectia datelor, acces la cel mai inalt nivel, etc), evaluarea corecta a impactului si riscurilor asociate precum si alocarea corecta a resurselor necesare”.

Roxana Mitroi, avocat in cadrul bpv GRIGORESCU STEFANICA, semnaleaza ca: “Inclusiv angajatii companiilor ce au parcurs procesul conformitatii si implementarii prevederilor GDPR au fost nevoiti sa se puna la punct cu procedurile si legislatia in domeniu. In orice caz, fiecare organizatie este diferita si fiecare activitate a unei organizatii poate duce la prelucrarea unor tipuri diferite de date. In vederea aplicarii in mod corect a prevederilor GDPR, apreciem ca una din provocarile companiilor este monitorizarea continua si permanenta a conformitatii sale. Luand in considerare eforturile interne si externe depuse pentru a ajunge la un grad de conformare, necesitatea monitorizarii si actualizarii periodice a proceselor de prelucrare, a registrului de activitati de prelucrare, preintampinarea unor brese de securitate, dezvoltarea si utilizarea software-urilor de tipul inteligentelor artificiale, suntem de parere ca activitatea in domeniul privacy & data protection va continua atat la nivelul intern al companiilor, cat si la nivel extern, prin angajarea diferitelor tipuri de consultanti in domeniu”.

Roxana Mitroi mai adauga ca: „In acest sens, se remarca un interes accentuat al companiilor ce se manifesta sub forma implicarii mai multor categorii de actori in acest proiect de aliniere si compliance, iar acest lucru este sustinut inclusiv de practica multor organizatii de a desemna la nivel intern persoane specializate responsabile de aspecte de tin de protectia datelor, desemnate la nivelul intregului grup, persoane ce colaboreaza cu avocati sau consultanti externi in acest domeniu”.

Marius Dumitrescu, specialist GDPR, afirma ca: „Angajatii reprezinta unul dintre cele mai mari riscuri in ceea ce priveste securitatea unei organizatii, conform studiului State of Cybersecurity 2019 realizat de ISACA. Din punctul meu de vedere, cea mai mare provocare a companiilor in procesul de obtinere si mentinere a conformitatii GDPR este carenta unei culturi a responsabilitatii, in randul angajatilor, privind protectia datelor personale. Acesta carenta poate fi diminuata substantial in urma instituirii unor programe de instruire cu privire la importanta protectiei datelor in concordanta cu practicile generale si politicile specifice activitatii companiei. Responsabilizarea angajatilor din perspectiva protectiei datelor personale va aduce un plus de valoare companiei. Un angajat constient si informat este un angajat vigilent si care actioneaza cu responsabilitate, riscurile unei erori umane scazand, in acelasi timp in care randamentul muncii creste. Mai mult, identificarea rapida a eventualelor brese de securitate si respectarea protocolului de raspuns la incidente va minimiza pierderile companiei”.

Specialistul concluzioneaza: “Raman un visator si sper ca in urmatoarea perioada sa vedem campanii de educare a persoanelor vizate din Romania, si de ce nu, campanii de educatie in scoli”.