Badania temperatury pasażerów za pomocą kamer termowizyjnych są bezpodstawne. Do takich wniosków doszła izba odwoławcza belgijskiego organu nadzorczego. W efekcie Port Lotniczy Bruksela i Ambuce Rescue Team muszą zapłacić kary w wysokości odpowiednio 200 tys. euro i 20 tys. euro.
Powodem wymierzenia kary było mierzenie temperatury pasażerów na lotniskach i w efekcie przetwarzanie ich danych osobowych dotyczących stanu zdrowia, a więc danych szczególnej kategorii. Użyto bowiem kamer termowizyjnych do sprawdzenia, czy pasażerowie na lotnisku w Brukseli mieli temperaturę ciała co najmniej 38 st. C. Jeśli ta temperatura była wyższa, wówczas pasażerów poddawano drugiej kontroli. W jej ramach musieli oni wypełnić kwestionariusz dotyczący ewentualnych objawów koronawirusa i innych danych dotyczących zdrowia. Taki kwestionariusz miał być przechowywany przez 5 lat.
Rozwiązania takie stosowano oczywiście w związku z pandemią COVID-19. Przetwarzanie danych osobowych w opisany sposób miało miejsce od czerwca 2020 r. do stycznia 2021 r.
W ocenie belgijskiego organu nadzorczego żaden z administratorów nie legitymował się podstawą przetwarzania wskazanych danych osobowych. Administratorzy oparli przetwarzanie na protokole. Nie wynikał on jednak z przepisów regulujących podstawy przetwarzania – RODO ani krajowych. Protokół nie mógł więc zawierać podstawy przetwarzania danych.
Administratorzy nie wykazali też konieczności przetwarzania danych w celu realizacji obowiązku prawnego (art. 6 ust. 1 lit. c RODO) lub zadania realizowanego w interesie publicznym (art. 6 ust. 1 lit. e RODO).
Nie określono również w sposób precyzyjny celu przetwarzania.
Belgijski organ nadzorczy zarzucił również nienależyte wykonanie obowiązku informacyjnego. Jeden z administratorów nie podawał bowiem podstawy przetwarzania danych w polityce prywatności.
Administratorom zarzucono także nieprzeprowadzenie oceny skutków dla ochrony danych (DPIA) w zakresie przetwarzania danych osobowych o zdrowiu we wspomnianych kwestionariuszach, w tym ich przechowywania przez aż 5-letni okres retencji. W ocenie organu nadzorczego było to przetwarzanie danych osobowych szczególnej kategorii na dużą skalę. To zaś czyniło koniecznym przeprowadzenie DPIA.
Przeczytaj także: Jak dokumentować analizę ryzyka i DPIA – 7 wskazówek dla administratora
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
