S-a lansat Ghidul Operatorilor privind monitorizarea video!

Resurse utile

Vizualizari: 11712

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Data Protection Commission (DPC), autoritatea națională de supraveghere din Irlanda, a publicat de curând Ghidul de utilizare a sistemelor de monitorizare video dedicat celor care prelucrează date colectate de sistemele CCTV.

Prin elaborarea acestui Ghid, DPC urmărește “să ajute proprietarii și chiriașii de spații, în special unde se desfășoară activitate a angajaților sau care sunt accesibile publicului, să-și înțeleagă responsabilitățile și obligațiile privind protecția datelor atunci când utilizează sisteme CCTV”.

Va prezentam în cele ce urmează principalele idei desprinse din Ghid:

Supraveghezi video un spațiu? Atunci ești operator!

Încă din start, DPC lămurește calitatea entităților care monitorizează video un spațiu. Astfel, conform articolului 4 din GDPR, orice persoană sau organizație care colectează și procesează datele personale ale persoanelor fizice este considerată "operator de date". Din acest motiv, orice utilizare a unui sistem CCTV trebuie luată în considerare în lumina obligațiilor impuse de legislația privind protecția datelor cu privire la operatorii de date și implementate în conformitate cu principiile protecției datelor.

Când sunt date personale și când când își pierd această calitate înregistrările video/foto?

Operatorii de date ar trebui să fie conștienți de faptul că filmările sau imaginile capturate de sistemele CCTV, care conțin persoane identificabile, sunt date cu caracter personal în sensul legislației privind protecția datelor. În cazul în care se folosesc procese pentru blurr-area persoanelor fizice din înregistrările CCTV, capturile foto/video sunt în continuare considerate date cu caracter personal în cazul în care este posibilă re-identificarea persoanelor fizice. În plus, dacă înregistrările foto/video sunt inițial capturate într-o formă identificabilă și apoi se realizează o anonimizare ireversibilă, legea privind protecția datelor va acoperi în continuare prelucrarea până la momentul în care s-a realizat procesul de anonimizare.

Înainte de instalarea unui sistem CCTV, atât organizațiile cât și persoanele persoanele fizice ar trebui să parcurgă următorul checklist, pentru a se asigura că prelucrarea respectivă este în concordantă cu cerințele privind protecția datelor.Toate aceste aspecte sunt tratate în detaliu în Ghid.

CCTV Checklist

  • Scop: Ai un scop clar definit pentru instalarea CCTV? Ce anume dorești să surprinzi în înregistrările foto/video? Va fi utilizat sistemul CCTV numai în vederea asigurării securității ? Dacă nu, puteți justifica celelalte scopuri? Va fi limitată folosirea datelor personale colectate de CCTV la scopul inițial?
  • Legalitatea prelucrării: Care este temeiul juridic al prelucrarii datelor colectate prin sistemul CCTV? Temeiul legal pe care îți bazezi prelucrarea este cel mai potrivit?
  • Necesitate: Poți demonstra că sistemul CCTV este necesar pentru atingerea scopului tău? Ai luat în considerare alte soluții care nu colectează datele personale ale persoanelor prin înregistrarea continuă a mișcărilor și acțiunilor? (adică măsuri mai puțin intruzive în viata privată a persoanelor vizate?)
  • Proporționalitate: Dacă sistemul CCTV va fi utilizat în alte scopuri decât cele de securitate, poți demonstra că aceste alte utilizări sunt proporționale cu drepturile și interese persoanelor vizate? De exemplu, monitorizarea personalului la locul de muncă este foarte intruzivă și ar fi justificată prin referire la circumstanțe speciale. Monitorizarea din motive de sănătate și siguranță ar necesita dovezi că instalarea unui sistem CCTV a fost proporțională în lumina problemelor de sănătate și siguranță care au apărut înainte de instalarea sistemului CCTV. Va fi înregistrarea CCTV rezonabilă în raport cu impactul asupra persoanelor pe care le veți înregistra? Vei înregistra clienți, personalul angajat, sau alte persoane? Poți justifica utilizarea unui sistem de monitorizare video în comparație cu efectul pe care acesta îl va avea asupra altor persoane? Poți demonstra că instalarea unui sistem CCTV care colectează date cu caracter personal în mod continuu este justificată?

Atenție: Probabil va fi necesară efectuarea unei evaluări a impactului asupra protecției datelor pentru răspunde în mod adecvat acestor întrebări.

  • Securitate: Ce măsuri vei pune în aplicare pentru a te asigura că înregistrările CCTV sunt păstrate în condiții de siguranță și securitate, atât din punct de vedere tehnic, cât și din punct de vedere organizațional? Cine va avea acces la înregistrări CCTV în organizația ta. și cum va fi gestionat și înregistrat accesul? (adică exista o politica clară privind accesul la înregistrări și divulgarea acestora?)
  • Retenție: Cât timp veți păstra înregistrările, ținând seama de faptul că acestea nu trebuie păstrate mai mult decât este necesar pentru îndeplinirea scopului inițial?
  • Transparență: Cum îi informați pe oameni că le înregistrați imaginile și cum le furnizați alte informații necesare în vederea respectării obligațiilor privind transparența? Ați luat în considerare modul în care vă pot contacta pentru mai multe informații sau pentru a solicita o copie a unei înregistrări?

Pentru a descarca Ghidul accesați următorul link

Particularitățile legislației naționale din România

Principiile aplicabile protecției datelor personale sunt general valabile pe întreg teritoriul Uniunii Europene, motiv pentru care Ghidul poate fi interpretat ca un instrument de bune practici pentru toți cei care intenționează să utilizeze un sistem de monitorizare video. Cu toate acestea, legea 333/2003, prin care sunt reglementate paza obiectivelor, bunurilor, valorilor și protecția persoanelor, este extrem de importantă în stabilirea legalității sistemelor de monitorizare video.

Respectarea legii 333/2003 pas cu pas

  1. Înainte de a începe parcurgerea checklist-ului de mai sus, efectuați o analiza de risc la securitate fizică, în principal pentru ca este obligatorie conform legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, dar și pentru a determina dacă aveți sau nu obligația de a instala un sistem de monitorizare video.
  2. În condițiile în care evaluarea de risc prevede printre măsuri și instalarea sistemului CCTV, va trebui să apleți la o firma licențiată  de Inspectoratul General al Poliției Românei. În acest caz, temeiul legal pe care se va baza monitorizarea va fi obligația legală.
  3. Dacă în urma evaluării de risc nu a rezultat necesitatea instalării sistemului CCTV, cel mai probabil prelucrarea datelor se va realiza în baza interesului legitim, cu condiția ca acesta să existe și să poată fi demonstrat. În acest caz va trebui să parcurgeți checklist-ul prezentat mai sus și, cel mai probabil, va fi necesara o evaluare a impactului asupra protecției datelor, cunoscută sub acronimul “DPIA”.

Monitorizarea angajaților, un subiect mereu fierbinte

Decizia adoptării unei soluții de monitorizare a angajaților poate fi, de cele mai multe ori, justificată de interesele angajatorului, însă nu este legală dacă nu este în echilibru cu drepturile și libertățile angajaților. O astfel de decizie nu poate fi luată decât în urma unui proces amplu de analiză asupra impactului pe care soluția de monitorizare o are asupra datelor personale ale angajaților, consemnată printr-o procedură transparentă prin care angajaților le sunt aduse la cunoștință toate aspectele referitoare la monitorizarea activităților lor.

Legea 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679, a instituit norme detaliate în vederea respectării justul echilibru între scopul urmărit și respectarea drepturilor fundamentale ale omului, pentru cazurile în care sunt utilizate sisteme de monitorizare prin mijloace de comunicații electronice sau prin mijloace de supraveghere video la locul de muncă, în scopul realizării intereselor legitime urmărite de angajator.

Astfel, pentru a monitorizarea angajaților invocând interesul legitim, este necesară îndeplinirea, cumulativă, a următoarelor condiții:

  1. interesele legitime urmărite de angajator sunt temeinic justificate și prevalează asupra intereselor sau drepturilor și libertăților persoanelor vizate;
  2. angajatorul a realizat informarea prealabilă obligatorie, completă și în mod explicit a angajaților;
  3. angajatorul a consultat sindicatul sau, după caz, reprezentanții angajaților înainte de introducerea sistemelor de monitorizare;
  4. alte forme și modalități mai puțin intruzive pentru atingerea scopului urmărit de angajator nu și-au dovedit anterior eficiența;
  5. durata de stocare a datelor cu caracter personal sa nu fie mai mare de 30 de zile, cu excepția situațiilor expres reglementate de lege sau a cazurilor temeinic justificate.

Recomandările experților privind monitorizarea angajaților

  • Se recomandă evitarea prelucrării datelor angajaților în baza consimțământului acestora, din cauza dezechilibrului de putere din relația angajator-angajat. În cazul folosirii consimțământului pentru justificarea prelucrării datelor angajaților, angajatorii vor trebui să poată dovedi validitatea consimțământului, ceea ce s-ar putea dovedi a fi foarte dificil sau imposibil de realizat;
  • Monitorizarea în vederea evaluării activității angajaților este o măsura mult prea intruziva, motiv pentru care este indicat sa se identifice alte metode de evaluare;
  • Este interzisă prelucrarea datelor cu caracter personal prin mijloace de supraveghere video în spații în care se impune asigurarea intimității persoanelor, cum ar fi: cabine de probă, vestiare, cabine de duș, toalete sau alte locații similare;
  • Camerele de supraveghere video se montează în locuri vizibile;
  • Este interzisă utilizarea mijloacelor de supraveghere video ascunse, cu excepția situațiilor prevăzute de lege;
  • Amprentarea angajaților este o măsură disproporționată în raport cu riscurile identificate de angajator și nu e justificată temeinic de necesitatea luării unei astfel de măsuri;
  • Înainte de a lua de decizia de a instala un sistem de monitorizare al angajaților este necesara o analiză referitoare la necesitatea și proporționalitatea măsurii precum și analiza eventualelor soluții alternative care au un impact mai mic asupra vieții private a salariaților;
  • Monitorizarea angajaților trebuie realizată fără a aduce prejudicii drepturilor și libertăților angajaților, într-un mod transparent, în limita scopului declarat și în conformitate cu politicile și  procedurile instituite și comunicate angajaților.

Informarea, o provocare pentru operatori

Una dintre principiile care definesc esența GDPR-ului este transparența prelucrărilor. Aceasta presupune ca persoanele să fie pe deplin conștiente de prelucrările de date care le vizează, însemnând că în momentul în care o persoană este subiectul unei prelucrări de date, inclusiv prin intermediul sistemelor de supraveghere video, aceasta trebuie să fie informata conform dispozițiilor art. 14 din GDPR.

În practica, acest lucru este extrem de rar, informările privind existenta sistemelor de supraveghere video fiind incomplete, ambigue sau lipsesc cu desăvârșire.

Pentru a veni în ajutorul operatorilor care utilizează sisteme CCTV, am solicitat specialiștilor un model de informare.Mulțumim echipei DPO Consulting pentru furnizare modelului de informare, care poate fi descarcat, în format evitabil, accesând link-ul de mai jos.

MODEL informare monitorizare video - by DPO Consulting

Vă atragem atenția că acesta este doar un model orientativ de informare, aplicabil doar operatorilor care realizează monitorizarea video în temeiul legii 333/2003.

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

A apărut nr.2/2020 al Revistei Române pentru Protectia si Securitatea Datelor cu Caracter Personal

Resurse utile

Vizualizari: 271

Facebooktwittergoogle_plusredditpinterestlinkedinmail

O noua publicatie a fost introdusa recent in webshop-ul dpo-NET.ro.  Este vorba de al doilea numar al Revistei Romane pentru Protectia si Securitatea Datelor cu Caracter Personal, aparuta la Editura Universul Juridic. Valoarea acestei reviste este data de aceasta asociere intre mediul academic si mediul privat, acest proiect editorial reusind sa ofere o imagine fidela a eforturilor operatorilor romani pentru a obtine confirmitatea GDPR.

Cuprinzand 148 de pagini, al doilea numar al Revistei GDPR a aparut sub coordomnarea Conf. univ. dr. Ciprian Paun, in calitate de Director si de Av. Dr. Raul Felix Hodos in calitate de Redactor Sef.  Temele abordate in acest numar sunt extrem de variate, articolele fiind scrise atat de catre specialisti din mediul academic , cat si de specialisti practicieni. Revista este structurata pe mai multe capitole: studii si cercetari, praxis, opinii, sectorial, studii de caz si monitorul protectiei datelor.

Digitalizarea vieții cotidiene a condus la trecerea în on-line a unei importante părți a existenței noastre, inclusiv, sau mai ales, a datelor noastre personale. Atât timp cât ele aparțineau doar lumii fizice, prelucrarea lor se făcea greu și insular. Automatizarea prelucrării datelor a fost primul pas spre AI, iar drumul încă nu s-au terminat. Revista noastră vine prin studiile publicate nu doar în întâmpinarea problemelor ridicate de GDPR și de celelalte acte normative asociate, ci se dorește a fi un spațiu de analiză a întregii paradigme a protecției și securității datelor personale din tripla perspectivă a managementului acestora, a legalității prelucrării lor și a garanțiilor de securitate prin mijloacelor tehnico-informatice. Împreună cu colegii mei Ciprian Păun, director, și cu Doru Dorobanțu, secretar general de redacție, cu sprijinul colectivului de redacție și a comitetului științific, am creionat un proiect pe care editura Universul Juridic l-a îmbrățișat și lansat sub numele Revista Română pentru Protecția și Securitatea Datelor cu Caracter Personal (RRPSDCP)", declara Av. Dr. Raul Felix Hodos, Redactor Sef.

Dintre autorii care au publicat articole in cel de-al doiela numar al revistei reamintim pe Doru Dorobantu, Nicolae Ploesteanu, Alexandru Georgescu, Irina Alexe, Daniel-Mihail Sandru, Adriana Akyol, Ioan-Luca Vlad, Silviu-Dorin Schiopu, Georgiana Trifan, Ramona Mihaela Coman, Marius Dumitrescu, Sonia Bianca Coman, Daniela Cireașă, Daniela Simionovici.

Urmatorul numar este asteptat sa apara in cel de-al trilea trimistru din 2020.

In editorial intitulat "Lumea digitale si nevoia de protectie a datelor", Conf. univ. dr. CIPRIAN PAUN afirma: "Profesioniștii din domeniu vor fi nevoiți sa investeasca in soluții de securitate pentru criptarea datelor, asigurarea confidențialitații, detectarea posibilelor amenințari și gestionarea raspunsurilor catre persoanele vizate (clienți). Dosarele in format fizic sau inregistrarile audio-video trebuie sa raspunda unor obiective sau finalitați specifice, explicite și legitime. Datele colectate in sistemul juridic (date despre parți, acte de stare civile, contracte de societate etc.) cu privire la clienți trebuie sa fie pastrate pentru o durata care nu depașește timpul necesar utilizarii, daca nu exista o prevedere legala in vigoare care sa impuna o anumita durata de pastrare. Exista o cerere foarte mare pe piața și sunt mulți ofertanți in aceasta zona de interes. Adaptarea la normele GDPR nu trebuie privita ca avand implicații negative asupra planului financiar al entitaților. Profesioniștii pot folosi aceasta ocazie pentru a proiecta și implementa o strategie eficienta de gestionare a datelor și pentru a se indrepta catre o gestionare bazata pe transparența și pentru a obține un echilibru eficient intre rezultatele juridice și obiectivele de business. Aceste masuri reprezinta pentru consumatorii de servicii/bunuri, adica persoanele identificate/identificabile, o masura suplimentara de protecție, iar pentru sistemul juridic contureaza o modalitate de a identifica riscurile prelucrarii neconforme a datelor."

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Document GRATUIT: PROCEDURĂ „Controlul temperaturii angajaților” (actualizat 23.05.2020)

Resurse utile

Vizualizari: 7818

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Ținând cont de completarea legislației relevante cu Ordinul 874/81/2020 (ordin comun al Ministerului Sănătății și Ministerului Afacerilor Interne), de poziția Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal transmisă către ActiveNews și de concluziile Webinarului “Termoscanarea. Implicațiile asupra relațiilor de muncă” organizat pe 21.05.2020 de către Dpo-net.ro, am actualizat prezentul articol precum și Procedura privind controlul temperaturii angajaților.

În ultimele două luni dar mai ales în ultima săptămână (după 14.05.2020), activitatea angajatorilor s-a îmbogățit cu o sumedenie de acte normative care reglementează, uneori prin noțiuni ambigue, modalitatea de primire la muncă a angajaților, în contextul instituirii stării de alertă pentru prevenirea îmbolnăvirilor cu virului Covid 19.

Menționăm aici Legea 55/2020 privind unele măsuri pentru prevenirea şi combaterea efectelor pandemiei de COVID-19 (în mod special articolul 13), Hotărârea de Guvern nr. 394/2020 privind declararea stării de alertă şi măsurile care se aplică pe durata acesteia pentru prevenirea şi combaterea efectelor pandemiei de COVID-19, Ordinul 3.577/831/2020 privind măsurile pentru prevenirea contaminării cu noul coronavirus SARS-CoV-2 și pentru asigurarea desfășurării activității la locul de muncă în condiții de securitate și sănătate în muncă, pe perioada stării de alertă, Ordinul 1.731/832/2020 privind măsurile pentru prevenirea contaminării cu noul coronavirus SARS-CoV-2 și pentru asigurarea desfășurării activităților în condiții de siguranță sanitară în domeniul economiei, pe durata stării de alertă (spații de îngrijire personal, birouri open space, unități de cazare) și Ordinul 874/81/2020 privind instituirea obligativității purtării măștii de protecție, a triajului epidemiologic și dezinfectarea obligatorie a mâinilor pentru prevenirea contaminării cu virusul SARS-CoV- 2 pe durata stării de alertă.

Deoarece toate aceste prevederi legale influențează relația clasică angajat - angajator, ne-am propus să vedem care sunt implicațiile acestor modificări din punct de vedere al măsurării temperaturii angajaților ca măsură de triaj epidemiologic (așa cum este ea denumită în HG 394/2020) sau triaj observațional (conform Ordinului 832/2020). Angajatorul are o obligație legală de prelucrare a unor date personale, în speță date speciale, temeiul prelucrării acestora fiind Art. 6 (1), lit c și Art. 9 (2), lit i) din Regulamentul general de protecție a datelor personale (GDPR).

Provocarea pentru angajator este de a îndeplini obligația sa legală de:

  • asigurare, la intrarea în sediu, în mod obligatoriu, a triajului epidemiologic, dezinfectarea  mâinilor și purtarea măștii de protectie de către angajați
  • măsurarea temperaturii prin termometru non contact (temperatura înregistrată nu trebuie să depășească 37,3 C), la care se poate adăuga marja de eroare prevăzută în prospectul dispozitivului
  • observarea semnelor și simptomelor respiratorii (de tipulȘ tuse frecventă, strănut frecvent, stare general modificată)

dar în același timp de a respecta protecția datelor personale ale angajaților, considerați de către legislația incidentă ca persoane vulnerabile în relația cu angajatorul.

Conform ANSPDCP “numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se înregistrează într-un sistem de evidență dispozițiile Regulamentului (UE) 2016/679 devin aplicabile.” În concluzie, măsurarea cu un termometru non contact care nu înregistrează datele, nu presupune prelucrarea de date personale. Desigur, situația se schimbă la utilizarea tehnologiilor avansate de scanare cu indentificarea persoanei și/sau înregistrarea temperaturii. Se pune însă problema angajaților care au temperatura peste 37.3oC (fie la intrarea la locul de muncă, fie în timpul programului de lucru) și a obligației legale a angajatorului de a-l “trimite pentru consult la medicul de familie” precum și a obligațiilor generale legate de relațiile de muncă (ex:justificarea absenței în pontajul zilnic) și de sănătatea și securitatea în muncă (analizarea cazului și luarea măsurilor suplimentare de dezinfecție a locului de muncă conform Ordinului 831/2020, inclusiv “informarea persoanelor cu care angajatul/persoana suspectă/confirmată a venit în contact prelungit (mai mult de 20 de minute, la o distanţă mai mică de 1,5 m şi fără mască)”.

Apreciez că legislația trebuie analizată în ansamblul ei și că nu ne putem limita la prevederea “Triajul epidemiolog nu implică înregistrarea datelor cu caracter personal” și că, în cazul acestora este inevitabilă prelucrarea datelor personale în îndeplinirea obligațiilor legale ale angajatorului, însă, respectând principiile GDPR, în mod special principiul minimizării datelor, prelucrarea se poate efectua cu aplicarea tuturor garanțiilor necesare (informarea angajaților conform art 13-14 GDPR, luarea de măsuri de securitate conform  art 32 GDPR și cu adoptarea de măsuri tehnice și organizatorice adecvate conform art 24 GDPR) .

În cazul în care se face prelucrarea datelor personale (speciale), temeiul prelucrării acestora va fi Art. 6 (1), lit c și Art. 9 (2), lit i) din Regulamentul general de protecție a datelor personale (GDPR).

Recomandăm angajatorilor să treacă prin filtrul principiilor protecției datelor personale toate măsurile pe care le vor lua pentru îndeplinirea obligației de a controla temperatura angajaților, respectiv principiul legalității (am stabilit anterior temeiul prelucrării), principiul echității, al transparenței (informarea angajaților conform art 13 GDPR, inclusiv asupra aparatelor utizate pentru controlul temperaturii), principiul limitării legate de scop (utilizarea datelor personale prelucrate exclusiv în scopul prevenirii răspândirii și transmiterii Sars Cov – 2 și pentru îndeplinirea obligației legale), principiul reducerii la minim a datelor colectate (nu colectați mai multe date decât aveți nevoie pentru îndeplinirea scopului declarat, dacă este cazul justificărilor legate de relațiile de muncă, sănătate și securitate în muncă, înlocuiți valoarea exactă a măsurătorilor cu precizarea că a fost depășită limita maxim admisă la două măsurători repetate), principiul exactității datelor personale (atenție ca aparate utilizate să fie omologate, cu mențiunea CE pe prospect), principiul limitării legate de stocare (dacă stocăm datele legate de măsurarea temperaturii, perioada de stocare să nu depășească termenul rezonabil de 30 de zile de la data întocmirii/înregistrării acestora, cu excepția cazului când există obligația legală de stocare pe o perioadă mai îndelungată), principiul integrității și confidențialității (angajatorul trebuie să ia măsuri de limitare a accesului la datele personale prelucrate și orice alte măsuri tehnice și organizatorice de asigurare a protecției împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale a acestor date, inclusiv asigurarea unui spațiu dedicat acestei monitorizări), principiul responsabilității operatorului (angajatorul trebuie să demostreze respectarea fiecăruia dintre principiile de mai sus).

Adaugăm faptul că în litigiile de muncă sarcina probei o are angajatorul așadar, în cazul unor litigii născute din îndeplinirea acestei obligații de măsurare a temperaturii, angajatorul trebuie să facă dovada utilizării unor mijloace omologate, a faptului că a făcut informarea completă și transparentă a angajaților, că a stabilit o procedură de măsurare a temperaturii angajaților pe care a adus-o la cunoștința acestora, că a făcut instructajul persoanelor desemnate să măsoare temperatura și că a luat toate măsurile necesare pentru respectarea protecției datelor angajaților dar și a sănătății acestora la locul de muncă.

Specificăm că dacă este obligația angajatorului de a institui aceste măsuri, este, totodată, în sarcina angajaților de a le respecta și de a se supune controalelor (extras din Ordinul 831/2020 – art. 2) având mai multe obligații printre care și

  • a) respectă toate instrucţiunile prevăzute în planul de prevenire şi protecţie şi instrucţiunile proprii de securitate şi sănătate în muncă întocmite de către angajator pentru prevenirea răspândirii coronavirusului SARS CoV-2;
  • d) acceptă verificarea temperaturii corporale la intrarea în sediu, la începutul programului şi ori de câte ori revin în sediu;

Considerăm că în cazul utilizării unor tehnologii avansate de termoscanare (nu în cazul măsurării temperaturii cu termometrul normal sau non-contact care nu stochează datele) angajatorul-operator trebuie să verifice încadrarea în art.1, literele b) sau d) din Decizia Președintelui Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal nr. 174/2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal.

De asemenea, dacă se efectuează prelucrarea datelor legate de măsurarea temperaturii, trebuie adaugată în evidența activităților de prelucrare (art. 30 GDPR).

Precizăm că autoritățile publice cărora li se pot comunica date cu caracter personal în cadrul unei anumite anchete în conformitate cu dreptul Uniunii sau cu dreptul intern nu sunt considerate destinatari, în cazul de față spre exemplu Direcțiile de sănătate public (DSP).

S-a discutat destul de des în ultima vreme dacă temperatura este o dată biometrică. Analizând definiția datelor biometrice, “înseamnă date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice”, ajungem la concluzia că temperatura NU ESTE dată biometrică, ea neidentificând unic o persoană și nefiind un parametru constant.

Așadar măsurile legislative instituite cu privire la starea de alertă, creează o multitudine de obligații atât pentru angajați cât și pentru angajatori, de aceea recomandăm angajatorilor să facă informarea angajaților, să întocmească o Procedură specifică pentru prevenirea răspândirii coronavirusului SARS-CoV-2 şi pentru asigurarea desfăşurării activităţii la locul de muncă în condiţii de securitate şi sănătate în muncă cu accent deosebit pe triajul observațional și epidemiologic constând și în măsurarea temperaturii.

La întocmirea procedurii și la punerea ei în practică recomandăm să participe membrii Comitetului de sănătate și securitate în muncă (reprezentantul angajatorului, responsabilul cu sănătatea și securitatea în muncă, un reprezentant al angajaților, medicul de medicina muncii) precum și Responsabilul cu protecția datelor personale (DPO) și un reprezentant al departamentului juridic al operatorului. Această formulă va asigura atât respectarea legislației interne, cât și pe cea a Uniunii Europene, drepturile angajaților și implementarea de măsuri pentru asigurarea confidențialității.  Procedura este anexă la Regulamentul intern, prevederile sale făcând referire la art 242, lit. a, b, c, h – Codul Muncii și este adusă la cunoștința angajaților conform art 243 și 244 din  Codul Muncii.

PUNCTELE PRINCIPALE ALE PROCEDURII DE CONTROL AL TEMPERATURII ANGAJAȚILOR

  1. ETAPA PRELIMINARĂ
  2. Crearea comisiei speciale pentru combaterea efectelor pandemiei COVID 19 formată din membrii Comitetului de sănătate și securitate în muncă plus juristul/avocatul societății plus DPO-ul. Prin regulamentul de organizare și functionare al comisiei se vor stabili atribuțiile pentru fiecare dintre membrii săi.
  3. Desemnarea persoanei responsabile de monitorizarea respectării procedurii de control al temperaturii angajaților (RMRP) cu modificarea fișei de post; recomandăm ca această persoană să fie Medicul de medicina muncii sau responsabilul SSM, dacă este desemnat dintre angajați, sau cu modificarea contractului de prestări servicii, dacă este un lucrător extern.
  4. Desemnarea Responsabilului (responsabililor) de controlul temperaturii angajaților (RCT) din rândul lucratorilor pregătiți (ex: cei instruiți pentru primul ajutor) sau, dupa caz, altă persoana instruită și asistată de către medicul de medicina muncii, responsabilul SSM si DPO cu modificarea atribuțiilor acestuia din fisa postului.
  5. Achizitia de termometre omologate/etalonate metrologic. Asigurarea altor resurse: măști de protecție, dezinfectant etc.
  6. Informarea angajatilor privind noua prelucrare a datelor lor personale (în cazul angajaților cu temperatura peste 37.30C) si diseminarea procedurii de control al temperaturii angajatilor.
  7. Identificarea punctului de acces în unitate cel mai potrivit astfel încât să asigure: confidențialitate și intimitate, circuite separate intrare/ieșire, spațiu de așteptare pentru cei depistati la primul control cu temperatura peste 37,3oC, condiții ambientale similare pentru toti angajații etc.
  8. CONTROLUL TEMPERATURII ANGAJAȚILOR
  9. Verificarea temperaturii angajaților se face la sosirea la locul de muncă și ori de câte ori revin la locul de muncă în timpul zilei.
  10. Daca angajatul are temperatura sub 37,3oC, îi este permis accesul la locul de muncă fără a înregistra valoarea temperaturii.
  11. Dacă angajatul are temperatura peste 37,3oC se reia măsuratoarea peste 2-5 minute, timp în care angajatul stă într-un spațiu special amenajat astfel încât să ofere atât confidențialitatea cât și să împiedice intrarea la locul de muncă.
  12. Dacă la a doua măsuratoare a temperaturii, angajatul are tot peste 37,3oC sau/și prezintă alte simptome respiratorii (de tipul: tuse frecventă, strănut frecvent, stare generală modificată), RCT anunta RMRP care îi va interzice pătrunderea la locul de muncă și îl va trimite la medicul de familie pentru verificări amănunțite.
  13. Dacă se încadrează în definiția de caz suspect COVID 19, medicul de familie îi va recomanda testarea pentru diagnosticarea infecției cu virusul SARS-CoV-2;
  14. Dacă nu se încadrează în definiția de caz suspect COVID 19, medicul de familie va orienta diagnosticul către altă afecțiune.
  15. Cazul va fi monitorizat de catre RMRP iar in situația încetării stării febrile și/sau a încetării concediului medical sau a aducerii unei dovezi de la medicul de familie care sa-i permita angajatului sa revină la locul de muncă, acesta poate reveni la serviciu.
  16. Medicul specialist de medicina muncii va monitoriza starea de sănătate a angajaților, inclusiv a celor trimiși la medicul de familie.
  17. RMRP va face centralizarea zilnica sau ori de cate ori este nevoie a eventualelor înregistrări/inscrisuri în conditii de securitate sporită si pentru o perioadă de stocare de maxim 30 de zile de la întocmirea acestora, cu excepția cazului când există obligația legală de stocare pe o perioadă mai îndelungată.
  18. Responsabilul de monitorizare a respectării procedurii (RMRP) va lua măsura distrugerii documentelor prin mijloacele puse la dispoziție de angajator și prin metodele cerute de angajator, luând totodată măsura documentarii acestei acțiuni.

Deoarece am observat că majoritatea angajatorilor dar și a angajaților au multe nelămuriri legate de punerea în aplicare a dispozițiilor legale referitoare la prevenirea răspândirii coronavirusului SARS-CoV-2 şi pentru asigurarea desfăşurării activităţii la locul de muncă în condiţii de securitate şi sănătate în muncă respectând totodată prevederile Regulamentului 679/2016, vă propunem o Procedură pe care o puteți personaliza în funcție de domeniul de activitate cu respectarea principiilor menționate mai sus.

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema „Informatii introductive despre utilizarea semnaturilor electronice” si care isi propune sa ofere informații […]

Cartea „GDPR for dummies” este acum disponibilă cu livrare imediată

O noua publicație a fost inclusă în portofoliul WebShop-ului dpo-NET. Este vorba de cartea apărută în Marea Britanie la începutul acestui an, „GDPR for dummies”. Cu peste 440 […]

Peste 20 de titluri noi in WebShop-ul Dpo-NET.ro

NeoPrivacy Romania a dezvoltat la inceputul anului 2019 primul portal web românesc dedicat exclusiv comunității profesioniștilor din domeniul protecției datelor și securității informațiilor  oferind informații naționale și internaționale, […]

Prevederi legislative privind desfasurarea muncii la domiciliul angajatilor. BONUS! Model GRATUIT act aditional CIM

Avand in vedere demersurile initiate de Grupul de suport tehnico-stiintific privind gestionarea bolilor inalt contagioase, din cadrul Guvernului Romaniei, cu privire la gestionarea cazurilor de infectie cu Coronavirus […]

A apărut Revista Romana pentru Protectia si Securitatea Datelor cu Caracter Personal

O noua publicatie a fost introdusa recent in webshop-ul dpo-NET.ro.  Este vorba de primul numar al Revistei Romane pentru Protectia si Securitatea Datelor cu Caracter Personal, aparuta la […]

Un ghid de AUDIT care nu trebuie să lipsească de pe biroul fiecărui GDPR-ist

Acest ghid si INSTRUMENT DE AUDIT, disponibil in webshop-ul dpo-net.ro, este probabil printre putinele carti aparute in Romania cu ajutorul careia o institutie sau o companie poate sa-si […]

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

Primele clauze contractuale standard între operatori și împuterniciți [eng]

La sfârșitul anului trecut am scris despre „Primul model de acord între operatori asociați”, publicat de Comisia pentru protecția datelor și libertatea informațiilor din landul Baden-Wuerttemberg (Germania).  Vă […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

Model de acord între operatori asociați publicat de autoritatea germană [eng]

Odată ajunși la concluzia că independența nu poate fi atributul care să califice o relație dintre doi operatori de date, deși multe companii bazându-se pe un evident dezechilibru […]

EDPB a realizat cea mai mare arhivă digitală dedicată specialiștilor în PDP

Deși a trecut abia un an și jumătate de la intrarea în vigoare a Regulamentului (UE) 2016/679, mulți dintre cei implicați implicați în procesul de aliniere la acest […]

EDPB a publicat documentele adoptate în ultima sesiune plenară

În zilele de 2 și 3 decembrie, autoritățile de supraveghere din SEE și Autoritatea Europeană pentru Protecția Datelor (EDPS), reunite în Comitetul European pentru Protecția Datelor (EDPB), s-au […]

EDPB a lansat ghidul Data Protection by Design and by Default

Comitetul European pentru Protecția Datelor (EDPB) a lansat astăzi, în consultare publică, un nou ghid extrem de interesant: Orientări 4/2019 privind articolul 25 Protecţia datelor începând cu momentul […]

AEPD a publicat Ghidul pentru aplicarea principiului „Privacy by design”

Autoritatea Spaniolă de Supraveghere (AEPD) a publicat pe site-ul său „Ghidul privacy by design” pentru a oferi orientări care să faciliteze încorporarea principiilor de protecție a datelor și […]

Cum păstrăm evidența activităților de prelucrare? Bonus: FORMULAR GRATUIT

Evidența activităților de prelucrare este pilonul central al proiectului implementării GDPR. Atunci când pornim pe lungul traseu al conformității GDPR important este primul pas pe care îl facem. […]

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]