Numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice se înregistrează într-un sistem de evidență dispozițiile Regulamentului (UE) 2016/679 privind prelucrarea datelor cu caracter personal devin aplicabile, precizează Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) într-un răspuns transmis în exclusivitate pentru ActiveNews.

În contextul în care recomandarea autorităților privind măsurarea temperaturii oamenilor a dat naștere unor dispute privind legalitatea acestei măsuri, am încercat să aflăm de la ANSPDCP, autoritatea responsabilă cu supravegherea prelucrării datelor cu caracter personal, dacă și în ce măsură este încălcată legea și care sunt drepturile oamenilor vis-a-vis de această nouă regulă de acces în magazine și instituții publice sau private.

O să acordăm prioritate informațiilor legate de drepturile și protecția oamenilor, astfel încât precizăm de la început că orice persoană are dreptul să se adreseze cu plângere sau sesizare către ANSPDCP, în măsura în care consideră că drepturile sale privind protecția datelor nu sunt respectate în conformitate cu dispozițiile legale în vigoare.

„Condițiile privind depunerea și soluționarea plângerilor, prevăzute în Decizia președintelui ANSPDCP nr. 133/2018, pot fi consultate la secțiunea ”Plângeri/Plângeri RGPD” de pe site-ul www.dataprotection.ro. Tot la această secțiune, există posibilitatea de a completa un formular electronic de plângere pe care se trimite pe adresa plangere@dataprotection.ro, cu anexarea de dovezi”, se precizează în răspunsul Autorității.

Pe de altă parte, în ceea ce privește posibilele atingeri aduse drepturilor și libertăților fundamentale prevăzute de Constituție, în contextul instituirii stării de alertă declarate potrivit legii, acestea pot fi semnalate Avocatului Poporului.

Revenind la problema protecției datelor cu caracter personal, din răspunsul primit de la Autoritate aflăm că potrivit art. 4 pct. 1 din Regulamentul (UE) 2016/679 (RGPD „datele cu caracter personal" înseamnă ”orice informații privind o persoană fizică identificată sau identificabilă ("persoana vizată")”.

Totodată, Conform art. 4 pct. 2 din Regulamentul (UE) 2016/679 (RGPD), „prelucrarea" înseamnă „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea”.

De asemenea, potrivit art. 4 pct. 6 din RGPD „sistem de evidență a datelor" înseamnă ”orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice”.

„Prin urmare, numai în măsura în care informațiile privind temperatura corporală a unei persoane fizice identificate sau identificabile se înregistrează într-un sistem de evidență dispozițiile Regulamentului (UE) 2016/679 devin aplicabile”, se subliniază în răspunsul transmis de ANSPDCP, pentru ActiveNews.

Potrivit Regulamentului (UE) 2016/679, în ceea ce privește modalitatea de prelucrare a datelor cu caracter personal, aceasta se realizează cu consimțământul persoanei vizate sau în celelalte condiții, prevăzute de art. 6, art. 9 și art. 10, în funcție de natura datelor și categoriilor de date colectate și prelucrate. În ceea ce privește datele cu caracter special, precum datele privind starea de sănătate, acestea pot fi prelucrate de către un operator în condițiile art. 9 lit. i) din RGPD, respectiv prelucrarea este necesară din motive de interes public în domeniul sănătății publice, în temeiul dreptului intern.

„Totodată, subliniem faptul că oricare ar fi temeiul de prelucrare al datelor operatorii trebuie să ia măsuri adecvate pentru a furniza persoanei vizate informațiile menționate la articolele 13 și 14, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Aceasta informare se poate realiza pe site-ul operatorului sau în locurile accesibile publicului. În ceea ce privește măsurile de securitate adoptate de către operatori, precizăm că art. 32 din Regulamentul (UE) 2016/679 care reglementează ”Securitatea prelucrării”, stabilește obligația operatorilor și persoanelor împuternicite de aceștia la implementarea măsurilor tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător”, subliniază ANSPDCP.

Deasemenea, art. 24 alin. (1) din Regulamentul (UE) 2016/679 prevede faptul că operatorii pun în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu acest regulament.

Pe de altă parte, potrivit unui comunicat transmis de președintele Comitetului European pentru Protecția Datelor (EDPB) și citat de ANSPDCP, orice măsură luată în acest context trebuie să respecte principiile generale ale dreptului și nu trebuie să fie ireversibilă.

"Situația de urgență este o condiție legală care poate legitima restricțiile de libertate, cu condiția ca aceste restricții să fie proporționale și limitate la perioada de urgență”, se arată în comunicatul EDPB.

Reamintim că, în România, starea de urgență s-a încheiat în data de 14 mai 2020, ulterior fiind instituită starea de alertă.

„Potrivit Hotărârii Guvernului nr. 394 din 18 mai 2020 privind declararea stării de alertă și măsurile care se aplică pe durata acesteia pentru prevenirea și combaterea efectelor pandemiei de COVID-19, au fost aprobate o serie de măsuri de prevenire și control al infecțiilor, condițiile concrete de aplicare și destinatarii acestor măsuri, precum și instituțiile și autoritățile publice care pun în aplicare sau urmăresc respectarea aplicării măsurilor pe durata stării de alertă. Astfel, prin Măsurile pentru diminuarea impactului tipului de risc, se instituie obligația instituțiilor și autorităților publice, operatorilor economici și profesioniștilor de a organiza activitatea, astfel încât să asigure, la intrarea în sediu, în mod obligatoriu, triajul epidemiologic și dezinfectarea obligatorie a mâinilor, atât pentru personalul propriu, cât și pentru vizitatori, în condițiile stabilite prin ordinul comun al ministrului sănătății și al ministrului afacerilor interne, emis în temeiul art. 13 și art. 71 alin. (2) din Legea nr. 55/2020. (art. 9 pct. 3)”, precizează ANSPDCP.

Prin urmare, subliniază ANSPDCP în răspunsul transmis ActiveNews, rezultă că în măsura în care este necesar a se asigura obiective importante de interes public general ale unui stat membru, cum ar fi în domeniul sănătății publice, dreptul intern care se aplică operatorului de date poate restricționa, printr-o măsură legislativă, domeniul de aplicare al obligațiilor și al drepturilor prevăzute de Regulamentul (UE) 2016/679.