Covid-19: Jak na osobní údaje

COVID-19 Koronavirus

S Covid-19 vtrhla do našich životů nejen karanténa, ale i mnoho nápadů, jak za pomoci moderních technologií pomoci s řešením a prevencí. Bohužel ne každé řešení a každá myšlenka však musí být vhodná. Vždy je třeba myslet na všechny aspekty. A ne každá pomoc je ta správná, i když je myšlena velmi dobře.

Jednou z metod je bezkontaktní měření teploty (třeba termokamerou) zaměstnanců při příchodu na pracoviště. Pokud jde pouze o měření teploty, není potřeba z pohledu bezpečnosti dat a osobních údajů nic namítat. Je-li u zaměstnance zjištěna zvýšená teplota, může být odeslán domů, nejde tedy o nic vážného.

Jsou zde ale systémy, které chtějí společnosti využívat. Zejména při dalším zpracováním dat. Problematické už může být i jen spojení údaje teploty se jménem, nebo fotografii testovaného. Rázem se zpracovatel může dostat do kategorie údajů zvláštní povahy (zdravotním stavu).

V první řadě, si položte otázku – je to nezbytné (proč je třeba uchovávat tyto údaje)? Neříkám, že nejsou závažné důvody. Pokud však ano, je nutné si velmi dobře zdůvodnit proč! Za dobu psaní tohoto článku jsem na žádné nepřišel, tedy ne na žádné spojené s běžným zaměstnavatelem a běžným provozem. Budu rád, pokud mi diskuze pod článkem napíše možné důvody. Pokud tedy nenajdeme závažné důvody, nelze uvažovat nad zpracováním, jinak než jako nadbytečným.

Další úrovní bývá, že se k teplotě přiřadí fotografie, nikoli té infračervené (teplotní), ale normální, ve viditelném spektru. Respektive obě možné fotografie. Pak zde máme jasnou identifikaci osoby a ještě k tomu s možným podezřením na pozitivní výsledek Covidu-19 (v současné době).

Četli jste nebo slyšeli o případu zdravotní sestry z Thomayerovy nemocnice, která se při pomoci pacientovi nakazila a následně zemřela doma? Vyšlo najevo, jakému psychickému tlaku od spolupracovníků čelila, jakým výhrůžkám a urážkám, aniž by nějak za nastalou situaci mohla být zodpovědná. Proč to sem nyní pletu? Protože je to jeden z důsledků, který musíte vzít v potaz při zpracování dopadové analýzy. A té se v tomto případě nevyhnete. Možná si myslíte, že přeháním, ale jde o reálný případ, který se bohužel již stal.

Pokud chceme podobný systém instalovat, je třeba provést pečlivou přípravu:

Co chceme zpracovávat za osobní údaje?
Je to nezbytně nutné?
Jaká rizika jsou se zpracováním spojená?
Jaké dopady hrozí osobám, jejichž osobní údaje zpracováváme?
Proč takové údaje zpracováváme (jaký bude jejich reálný účel a využití)?
Bude opravdu účelné data zpracovávat? Bude to mít opravdu reálný přínos?

Můj kolega mně naučil jeden způsob, jak nahlížet na rizika. Vezmi vždy to nejhorší, co se může stát jedinci a postav to proti nikoliv přínosu, ale MOŽNÉMU přínosu 1000 lidí. Stojí smrt jedné zdravotní sestry za to, že zveřejní její diagnózu?

Petr Gondek, DPO, managing director GDPR Support s.r.o.

Napsat komentář