Έλεγχοι Θερμοκρασίας Σώματος για COVID-19. Πώς Πρέπει να Γίνονται;

1.jpg

Συντάκτης:  Γιάννης Σ. Καλαντζάκης

Ορισμένες επιχειρήσεις και δήμοι στην Ελλάδα και σε όλη την Ευρώπη (ξενοδοχεία, σχολεία, υπηρεσίες), μεταξύ των οποίων ευρωπαϊκά θεσμικά όργανα, έχουν εφαρμόσει ελέγχους θερμοκρασίας σώματος ως μέρος των μέτρων υγιεινής και ασφάλειας που θεσπίστηκαν στο πλαίσιο της στρατηγικής τους «επιστροφή στο γραφείο» για την πρόληψη της εξάπλωσης της μόλυνσης από τον ιό SARS-CoV-2.

Όμως ταυτόχρονα, οι συστηματικοί έλεγχοι θερμοκρασίας σώματος του προσωπικού και άλλων επισκεπτών για να φιλτράρουν την πρόσβαση σε χώρους εταιρειών μπορεί να αποτελούν παρέμβαση στα δικαιώματα των ατόμων για ιδιωτική ζωή ή / και προστασία δεδομένων προσωπικού χαρακτήρα. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) γνωμοδότησε στην αρχή του μήνα ότι οι έλεγχοι θερμοκρασίας σώματος πρέπει να υποβληθούν σε προσεκτική αξιολόγηση. Το EDPB εξέδωσε συστάσεις για να βοηθήσει εταιρείες και Υπεύθυνους Προστασίας Δεδομένων (DPO) να ανταποκριθούν στις απαιτήσεις του γενικού κανονισμού 2016/679 (GDPR), κατά περίπτωση.

Το EDPB θεωρεί ότι οι «βασικοί έλεγχοι θερμοκρασίας σώματος», που έχουν σχεδιαστεί μόνο για τη μέτρηση της θερμοκρασίας του σώματος, λειτουργούν χειροκίνητα και δεν ακολουθούνται από καταχώριση, τεκμηρίωση ή άλλη επεξεργασία δεδομένων προσωπικού χαρακτήρα ενός ατόμου, κατ' αρχήν, δεν υπόκεινται στο πεδίο εφαρμογής του κανονισμού GDPR. Αντιστρόφως, το EDPB θεωρεί ότι τα συστήματα ελέγχου θερμοκρασίας, που λειτουργούν χειροκίνητα και ακολουθούνται από εγγραφή, τεκμηρίωση ή περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα ενός ατόμου ή συστήματα που λειτουργούν αυτόματα με προηγμένες συσκευές μέτρησης θερμοκρασίας, γενικά, θα εμπίπτουν στο πεδίο εφαρμογής του κανονισμού.

Νομιμότητα

Η συστηματική χρήση τέτοιων «βασικών ελέγχων θερμοκρασίας» στην είσοδο των εγκαταστάσεων εταιρειών μπορεί να οδηγήσει σε παρέμβαση στο θεμελιώδες δικαίωμα στην ιδιωτική ζωή που προστατεύεται βάσει του άρθρου 7 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και, ως εκ τούτου, θα υπόκειται στους όρους νομιμότητας, αναγκαιότητας και αναλογικότητας που ορίζονται στο άρθρο 52 παράγραφος 1 του Χάρτη.

Ο αντίκτυπος στην ιδιωτικότητα των ατόμων πρέπει να μειωθεί στο ελάχιστο απαραίτητο για την επίτευξη του επιθυμητού αποτελέσματος.

Τεχνικά και οργανωτικά μέτρα

Το EDPB σημειώνει ότι σύμφωνα με το άρθρο 22 του κανονισμού GDPR, οι έλεγχοι θερμοκρασίας που εφαρμόζονται υποχρεωτικά δεν πρέπει να βασίζονται αποκλειστικά σε αυτοματοποιημένη επεξεργασία. Επομένως, θα πρέπει να προβλεφθεί σημαντική συμμετοχή του ανθρώπου στα σχετικά στάδια του ελέγχου. Οι προσανατολισμοί του EDPB παρέχουν παρακάτω έναν μη εξαντλητικό κατάλογο τεχνικών και οργανωτικών συστάσεων που θα πρέπει να ληφθούν δεόντως υπόψη για να διασφαλιστεί ότι υπάρχουν κατάλληλες διασφαλίσεις, καθώς και ειδικές συστάσεις σχετικά με τη διαφάνεια έναντι των ατόμων και τη διαδικασία παρακολούθησης σε περίπτωση «θετικών» αποτελεσμάτων των ελέγχων:

  • Τα συστήματα για τη διενέργεια ελέγχων θερμοκρασίας σώματος πρέπει να λειτουργούν ανεξάρτητα και να μην συνδέονται με οποιοδήποτε άλλο σύστημα πληροφορικής και ειδικότερα δεν πρέπει να συνδέονται με το σύστημα ασφαλείας, όπως το δίκτυο CCTV (δεν συνδέεται με καμία μορφή ελέγχου ταυτότητας).
  • Θα πρέπει να σχεδιαστεί ως σύστημα σε πραγματικό χρόνο και να μην γίνεται εγγραφή της ανάγνωσης. Οι εταιρείες μπορούν να τοποθετήσουν ένα απομακρυσμένο σύστημα προβολής κοντά στον θερμικό σαρωτή που δεν επιτρέπει την εγγραφή των εικόνων.
  • Οι εταιρείες μπορεί να θέλουν να χρησιμοποιούν ηλεκτρικούς θερμικούς απεικονιστές βιομηχανικής ποιότητας που δεν είχαν σχεδιαστεί κυρίως για επιδημικές αποκρίσεις. Σε τέτοιες περιπτώσεις, το επιλεγμένο μηχάνημα θα πρέπει να προσαρμοστεί ώστε να συμμορφώνεται τόσο με τεχνικές όσο και απαιτήσεις προστασίας δεδομένων για τη λειτουργία του.
  • Όπως αναφέρθηκε προηγουμένως και ειδικά για το αυτοματοποιημένο σύστημα, πρέπει να επαληθευτεί ότι δεν υπάρχει καταγραφή των θερμικών εικόνων και τα αποτελέσματα εμφανίζονται μόνο στην οθόνη "ζωντανά". Εάν το σύστημα μπορεί να μεταδώσει εικόνες από απόσταση μέσω ενσύρματου ή ασύρματου πρωτοκόλλου (π.χ. ZigBee, Bluetooth, Wi-Fi, Ethernet), πρέπει να απομονωθεί από άλλα δίκτυα.
  • Ο Υπεύθυνος Επεξεργασίας θα πρέπει να επαληθεύει τα δεδομένα στα οποία έχει πρόσβαση ο κατασκευαστής συσκευών μέτρησης θερμοκρασίας εάν έχει εγκατασταθεί σύστημα τηλεμετρίας για την παρακολούθηση της σωστής λειτουργίας τέτοιων συσκευών.
  • Ο πλήρης κύκλος ζωής δεδομένων πρέπει να αναλυθεί, προκειμένου να διασφαλιστεί ότι δεν πραγματοποιείται εγγραφή ή αποθήκευση. Επιπλέον, η χρήση του συστήματος θα πρέπει να περιορίζεται στο φιλτράρισμα της πρόσβασης στις εγκαταστάσεις της εταιρείας και να μην χρησιμοποιείται για άλλο σκοπό. Προκειμένου να διασφαλιστεί η συμμόρφωση με την αρχή του περιορισμού του σκοπού: ο σκοπός του συστήματος για τη διενέργεια ελέγχων θερμοκρασίας σώματος πρέπει να παραμείνει αποκλειστικά η ανίχνευση ενός ατόμου που επιθυμεί να εισέλθει σε μια εγκατάσταση μιας εταιρείας με υψηλή θερμοκρασία σε σύγκριση με ένα προκαθορισμένο κατώφλι. Η επιλογή ενός συγκεκριμένου ορίου θερμοκρασίας πρέπει να εξηγηθεί και να τεκμηριωθεί (πχ. έχει οριστεί από τον ΕΟΔΥ).
  • Επιπλέον, δεδομένου ότι υπάρχει περίπου μια διαφορά ενός βαθμού Κελσίου μεταξύ μιας κανονικής θερμοκρασίας και του κατωφλίου, η ακρίβεια των συσκευών πρέπει να επαληθευτεί και ενδέχεται να περιλαμβάνει τακτική βαθμονόμηση του αισθητήρα.
  • Τέλος, το προσωπικό που θα είναι υπεύθυνο για τους ελέγχους πρέπει να εκπαιδευτεί κατάλληλα για τη λειτουργία και την ερμηνεία των αποτελεσμάτων (π.χ. με την «άρνηση και παρακολούθηση»).

Διαφάνεια

Το EDPB προτείνει ότι κάθε άτομο που εισέρχεται στο κτίριο μιας εταιρείας πρέπει να ενημερώνεται σαφώς ότι υπάρχει ένα σύστημα ελέγχου θερμοκρασίας με σαφή ένδειξη του λόγου ενός τέτοιου ελέγχου και από ποιον και πότε αποφασίστηκαν αυτοί οι έλεγχοι. Τα σήματα με πληροφορίες σχετικά με τους ελέγχους θερμοκρασίας πρέπει να τοποθετούνται σε τέτοιες τοποθεσίες και να είναι αρκετά μεγάλα ώστε τα άτομα να μπορούν να τα παρατηρήσουν και να τα διαβάσουν χωρίς δυσκολία. Οι πινακίδες εντός των κτιρίων πρέπει να είναι στη γλώσσα (ή στις γλώσσες) γενικά κατανοητές από τα μέλη του προσωπικού και τους συχνότερους επισκέπτες. Εάν υπάρχει οποιαδήποτε ερώτηση σχετικά με το πώς λειτουργεί η συσκευή μέτρησης θερμοκρασίας και ποια δεδομένα συλλέγονται, τα άτομα θα πρέπει να μπορούν να λαμβάνουν τις κατάλληλες πληροφορίες από την εταιρεία / υπεύθυνο επεξεργασίας δεδομένων.

 Άρνηση και Παρακολούθηση

Σε περίπτωση «θετικού» αποτελέσματος ελέγχου θερμοκρασίας, πρέπει να υπάρχει κατάλληλη διαδικασία παρακολούθησης. Σε αυτό το στάδιο, το άτομο πρέπει να έχει την ευκαιρία να επωφεληθεί από μια δεύτερη μέτρηση. Η δεύτερη μέτρηση θα πρέπει να επιτρέπει τον αποκλεισμό αιτίας που συνδέεται με πρόβλημα δυσλειτουργίας ή βαθμονόμησης της συσκευής. Μετά τη δεύτερη μέτρηση, εάν η θερμοκρασία του ατόμου εξακολουθεί να είναι πάνω από το καθορισμένο όριο, θα πρέπει να δοθεί στο άτομο η ευκαιρία να επωφεληθεί από μια τρίτη μέτρηση που πραγματοποιείται από επαγγελματία υγείας χρησιμοποιώντας άλλη συσκευή και ανθρώπινη συμμετοχή στη διαδικασία ελέγχου θερμοκρασίας.

Εάν μετά την τρίτη μέτρηση, η θερμοκρασία του σώματος του ατόμου εξακολουθεί να είναι πάνω από το καθορισμένο κατώφλι, στο άτομο που εμποδίζεται να εισέλθει στο κτίριο θα πρέπει να παρέχονται κατάλληλες συμβουλές και πληροφορίες, συμπεριλαμβανομένου τουλάχιστον ενός φυλλαδίου με στοιχεία επικοινωνίας των υγειονομικών αρχών και των σημείων εργαστηριακών ελέγχων για COVID-19.

Εάν το άτομο (προσωπικό, επισκέπτης και εργολάβος) που δεν έχει πρόσβαση ζητήσει απόδειξη αυτής της άρνησης, το προσωπικό ασφαλείας πρέπει να παράσχει μια απόδειξη με την ημερομηνία, την ώρα και τον τόπο εισόδου με την ένδειξη ότι ο κάτοχος αυτής της απόδειξης δεν έγινε δεκτός λόγω περιορισμού που ισχύει επί του παρόντος στην εταιρεία.

Όσον αφορά στο προσωπικό της, ενώ οι υπάλληλοι της εταιρείας μπορεί να χρειαστεί να αιτιολογήσουν την απουσία τους στο γραφείο στους διευθυντές τους, η απουσία αυτή θα πρέπει να αντιμετωπίζεται με κανονική διαδικασία για τέτοιες περιπτώσεις. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που σχετίζονται με φύλλα και απουσίες πρέπει να παραμένει σαφώς διαχωρισμένη από το σύστημα ελέγχου θερμοκρασίας που έχει τεθεί σε εφαρμογή. Στο ενδιαφερόμενο μέλος του προσωπικού θα πρέπει να παρέχονται λύσεις, όπως η τηλεργασία, που περιορίζουν τη διακοπή της ιδιωτικής ζωής του και όπως κάθε άλλη αίτηση ιατρικής άδειας, δεν πρέπει να τιμωρείται ή να στιγματίζεται ως αποτέλεσμα θετικού ελέγχου θερμοκρασίας.

Συμπέρασμα

Κατά τη διάρκεια αυτής της υγειονομικής κρίσης, είναι σημαντική η συμμόρφωση με τις απαιτήσεις του ΕΟΔΥ και του Υπουργείου Υγείας, αλλά ταυτόχρονα και με εκείνες που ορίζονται στον κανονισμό GDPR και στο Χάρτη των Θεμελιωδών Δικαιωμάτων. Σύμφωνα με την αρχή της λογοδοσίας, πρέπει να υπάρχει ίχνος τεκμηρίωσης για την τεκμηρίωση των αποφάσεων που λαμβάνονται σχετικά με ζητήματα προστασίας δεδομένων.

Το EDPB συμβουλεύει τις εταιρείες που εφαρμόζουν ελέγχους θερμοκρασίας να επανεξετάζουν συνεχώς την αναγκαιότητα και την αναλογικότητα τέτοιων μέτρων υπό το φως της εξέλιξης της επιδημικής κατάστασης και της επιστημονικής κατανόησης και πάντα σε συνάρτηση με τις οδηγίες του ΕΟΔΥ.

*Ο Γιάννης Σ. Καλαντζάκης είναι Entrepreneur Υπηρεσιών Υγείας, Πιστοποιημένος Υπεύθυνος Προστασίας Δεδομένων (DPOaaS) & Σύμβουλος Επιχειρήσεων σε θέματα ιατρικού τουρισμού, ποιότητας και διαχείρισης δεδομένων προσωπικού χαρακτήρα (GDPR). #IOwnMyHealthData