Από την εμφάνιση της πανδημίας του Covid-19 στη χώρα μας και ακόμα περισσότερο το τελευταίο διάστημα, ενόψει της επαναλειτουργίας της αγοράς, αρκετοί ιδιωτικοί και δημόσιοι φορείς εφαρμόζουν μεθόδους θερμομέτρησης των εργαζομένων και επισκεπτών στις εγκαταστάσεις τους.
Τα βασικά ερωτήματα που ανακύπτουν είναι:
α) εάν η θερμομέτρηση συνιστά επεξεργασία δεδομένων προσωπικού χαρακτήρα και
β) εάν η θερμομέτρηση εμπίπτει στο πεδίο εφαρμογής του Γενικού Κανονισμού για τα Προσωπικά Δεδομένα (GDPR).
Ειδικότερα, επί των αναφορών της Αρχής, διακρίνονται και επισημαίνονται τα ακόλουθα:
- " Η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα εφαρμόζεται κατ’ άρ. 2 παρ. 1 Κανονισμού 679/2016 (εφεξής «ΓΚΠΔ») και 2 ν. 4624/2019 στην εν όλω ή εν μέρει αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Έτσι, π.χ., η προφορική ενημέρωση ότι το υποκείμενο των δεδομένων νοσεί από τον κορωνοϊό ή ότι η σωματική θερμοκρασία του έχει μετρηθεί ως ανώτερη του φυσιολογικού συνιστούν μεν δεδομένα προσωπικού χαρακτήρα, πλην όμως η σχετική νομοθεσία δεν εφαρμόζεται εάν οι ανωτέρω πληροφορίες δεν έχουν περιληφθεί σε σύστημα αρχειοθέτησης σε περίπτωση μη αυτοματοποιημένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοματοποιημένη επεξεργασία"
- "5. Όσον αφορά τον ιδιωτικό τομέα, ιδίως τις εργασιακές σχέσεις, από τις κείμενες διατάξεις (ιδίως από εκείνες των άρθρων 42, 45 και 49 ν. 3850/2010 ) προκύπτει ότι, αφενός, ο εργοδότης υποχρεούται να εξασφαλίζει την υγεία και την ασφάλεια των εργαζομένων λαμβάνοντας τα αναγκαία συναφή προστατευτικά μέτρα προς αποφυγή επέλευσης σοβαρού, άμεσου και αναπόφευκτου κινδύνου αυτών, εγγυώμενος το ασφαλές και υγιές περιβάλλον εργασίας με τη συνδρομή των εργαζομένων, αφετέρου, οι εργαζόμενοι ομοίως υποχρεούνται να εφαρμόζουν τους κανόνες υγείας και ασφάλειας των ιδίων αλλά και άλλων ατόμων που επηρεάζονται από πράξεις ή παραλείψεις τους, περιλαμβανομένης της υποχρέωσής τους να αναφέρουν αμέσως στον εργοδότη ή/και στον εκτελούντα καθήκοντα ιατρού εργασίας όλες τις καταστάσεις που μπορεί να θεωρηθεί εύλογα ότι παρουσιάζουν άμεσο και σοβαρό κίνδυνο για την ασφάλεια και την υγεία. Στο μέτρο κατά το οποίο εφαρμόζεται η νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις ανωτέρω υπ’ αρ. 1-2 σκέψεις, οι εργοδότες νομιμοποιούνται να επεξεργάζονται δεδομένα για την προστασία της υγείας των εργαζομένων και των ίδιων τηρουμένων των αρχών του άρθρου 5 ΓΚΠΔ, σύμφωνα με τις νομικές βάσεις των προαναφερόμενων διατάξεων των άρθρων 6 παρ. 1, ιδίως εδ. γ’ δ’ και ε’, 9 παρ. 2, ιδίως, εδ. β’, ε’ και θ’ ΓΚΠΔ και πάντα υπό τις οδηγίες των αρμόδιων αρχών για την εφαρμογή των μέτρων1 που λήφθηκαν με τις ΠΝΠ στο μέτρο που συνιστούν επεξεργασία δεδομένων προσωπικού χαρακτήρα.
- "6. …Η Αρχή υπενθυμίζει ότι ο υπεύθυνος επεξεργασίας προβαίνει στις αναγκαίες και σύμφωνες προς τα άρθρα 5 και 6 ΓΚΠΔ πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα για την επίτευξη των επιδιωκόμενων σκοπών χωρίς να μπορεί εκ προοιμίου να αποκλειστεί ως απαγορευμένη οποιαδήποτε πράξη επεξεργασίας, ιδίως στην παρούσα χρονική κρίσιμη και πρωτόγνωρη συγκυρία και εφόσον πληρούνται επιπλέον οι προϋποθέσεις που περιλαμβάνονται στις υπ’ αρ. 1-2 σκέψεις της παρούσας….Επισημαίνεται ότι η συλλογή και η εν γένει επεξεργασία των δεδομένων προσωπικού χαρακτήρα που παρουσιάζουν επαχθή χαρακτήρα και συνιστούν περιορισμό ατομικών δικαιωμάτων, όπως π.χ. η θερμομέτρηση στην είσοδο του χώρου εργασίας, πρέπει να λαμβάνει χώρα, τηρουμένων των νομίμων προϋποθέσεων, αφού θα έχει προηγουμένως αποκλειστεί κάθε διαθέσιμο πρόσφορο μέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρμόζεται η νομοθεσία για τα προσωπικά δεδομένα. Αντίθετα, μία συστηματική, διαρκής και γενικευμένη συλλογή δεδομένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζομένων, δύσκολα θα μπορούσε να χαρακτηριστεί ως σύμφωνη με την αρχή της αναλογικότητας.
Αναλυτικότερα, στον Γενικό Κανονισμό για τα Προσωπικά Δεδομένα (εφεξής «ΓΚΠΔ») και στον εφαρμοστικό Νόμο 4624/2019, εμπίπτουν οι επεξεργασίες των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης. Σύμφωνα με σχετικές κατευθυντήριες γραμμές που εξέδωσε η Αρχή Προστασίας Δεδομένων Προσωπικού χαρακτήρα στη χώρα μας, η προφορική ενημέρωση για τη σωματική θερμοκρασία του υποκειμένου των δεδομένων που έχει μετρηθεί ως ανώτερη του φυσιολογικού, συνιστά µεν δεδομένο προσωπικού χαρακτήρα, πλην όμως η σχετική νομοθεσία δεν εφαρμόζεται, εάν το δεδομένο δεν έχει περιληφθεί σε σύστημα αρχειοθέτησης ή σε αυτοµατοποιηµένη επεξεργασία (λχ αποθήκευση των αποτελεσμάτων σε ηλεκτρονικό σύστημα ή κατάλογο κτλ).
Αντιθέτως, η συστηματική, γενικευμένη και με την μορφή της αυτοματοποιημένης ή μη αυτοματοποιημένης επεξεργασίας θερμομέτρηση, εμπίπτει στις διατάξεις του ΓΚΠΔ (GDPR) και του Ν. 4624/2019 και πρέπει να εφαρμόζεται με ιδιαίτερη προσοχή από τα Νομικά Πρόσωπα.
Αρχικά, αν ο υπεύθυνος επεξεργασίας, στα πλαίσια της αρχής της λογοδοσίας, αποδείξει τον μη συστηματικό και γενικευμένο τρόπο επεξεργασίας των δεδομένων που συνέχονται με τη θερμοκρασία του σώματος των υποκειμένων των δεδομένων, τότε o ΓΚΠΔ δεν έχει καμία εφαρμογή.
Πλην όμως στις περιπτώσεις κατά τις οποίες η θερμομέτρηση εμπίπτει στον Γενικό Κανονισμό, αποτελεί επεξεργασία προσωπικών δεδομένων και μάλιστα ειδικής κατηγορίας προσωπικών δεδομένων, τα οποία αφορούν την υγείας του υποκειμένου (ευαίσθητα προσωπικά δεδομένα), η νομιμότητα δε της εν λόγω επεξεργασίας, απαιτεί την στοιχειοθέτηση των νομικών βάσεων του άρθρου 9 παρ. 2 του Γενικού Κανονισμού.
Για παράδειγμα, εάν υποτεθεί ότι η επεξεργασία πραγματοποιείται από τον εργοδότη στο πλαίσιο της υγιεινής και ασφάλειας των εργαζομένων στο χώρο εργασίας (ν.3850/2010), η επεξεργασία της πληροφορίας θα πρέπει να γίνεται αφενός από επαγγελματίες υγείας, αφετέρου αφού προηγουμένως αποκλειστεί άλλο πρόσφορο μέτρο, καθόσον η συστηματική και καθημερινή θερμομέτρηση των εργαζομένων, με καταγραφή των δεδομένων τους (στην προκειμένη της θερμοκρασίας τους) σε αρχείο και δημιουργία προφίλ υγείας εργαζομένων αντιβαίνει την αρχή της αναλογικότητα και επομένως στις βασικές αρχές του Κανονισμού, όπως διατυπώνονται στο άρθρο 5 αυτού.
Από τα ανωτέρω προκύπτει ότι από το μέχρι τώρα σύνολο των απόψεων που έχουν διατυπωθεί, δεν προκύπτουν σαφείς οδηγίες προς τις εταιρείες σχετικά με το αν νομιμοποιούνται ή όχι να προβούν στην θερμομέτρηση εργαζομένων και επισκεπτών για να διασφαλίσουν τις συνθήκες υγιεινής στο χώρο τους.
To περιθώριο αιτιολόγησης του μέτρου ως αναγκαίου και αναλογικού αποτελεί μία σύνθετη άσκηση, την οποία θα πρέπει να έχουν υπόψιν τους όλες οι εταιρείες που αποφασίσουν να προχωρήσουν στη λήψη του μέτρου, έργο με το οποίο επιφορτίζεται κυρίως η εκάστοτε ομάδα Προστασίας Προσωπικών Δεδομένων των εταιριών.
Επομένως, με βάση όλα τα ανωτέρω και από τις κατευθυντήριες γραμμές που έχει εκδώσει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής «ΑΠΔΠΧ») σε συνδυασμό με τον Γενικό Κανονισμό για τα Προσωπικά Δεδομένα (εφεξής «ΓΚΠΔ») και τον εφαρμοστικό Νόμο 4624/2019, προκύπτει ότι αν ο υπεύθυνος επεξεργασίας, στα πλαίσια της αρχής της λογοδοσίας, αποδείξει τον μη συστηματικό και γενικευμένο τρόπο επεξεργασίας των δεδομένων που συνέχονται με τη θερμοκρασία του σώματος των υποκειμένων των δεδομένων, δηλαδή αποδείξει ότι για την θερμομέτρηση των εισερχόμενων στις εγκαταστάσεις των Νομικών Προσώπων, προσώπων, δεν ακολουθείται αυτοματοποιημένη ή μη αυτοματοποιημένη μέθοδος επεξεργασίας (αποθήκευση των αποτελεσμάτων σε ηλεκτρονικά συστήματα της εταιρίας ή καταλόγους), τότε καταρχήν ο ΓΚΠΔ (GDPR) δεν έχει εφαρμογή.
Κατά την άποψή μας, η θερμομέτρηση μπορεί να διεξάγεται, εάν δεν καταγράφονται τα στοιχεία σε αρχείο και αφού ενημερώνονται οι εργαζόμενοι για τους σκοπούς της θερμομέτρησης.