| A | B | C | D | E | |
|---|---|---|---|---|---|
1 | ΠΗΓΗ | ΘΕΤΙΚΗ / ΑΡΝΗΤΙΚΗ ΤΟΠΟΘΕΤΗΣΗ | ΑΝΑΛΥΤΙΚΗ ΤΟΠΟΘΕΤΗΣΗ | Σχετική αναφορά | ΣΥΝΔΕΣΜΟΣ |
2 | Αρχές Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | ||||
3 | ΑΠΔΠΧ | ΟΥΔΕΤΕΡΗ | Δεν αποκλείεται η θερμομέτρηση ως απαγορευμένη πράξη επεξεργασίας. Αναλυτικά: • Η προφορική ενηµέρωση ότι η σωµατική θερµοκρασία του υποκειμένου των δεδομένων έχει µετρηθεί ως ανώτερη του φυσιολογικού συνιστά µεν δεδοµένo προσωπικού χαρακτήρα, πλην όµως η σχετική νοµοθεσία (ΓΚΠΔ & Ν.4624/2019) δεν εφαρµόζεται εάν η ανωτέρω πληροφορία δεν έχει περιληφθεί σε σύστηµα αρχειοθέτησης σε περίπτωση µη αυτοµατοποιηµένης (χειροκίνητης) επεξεργασίας ή δεν έχουν περιληφθεί σε αυτοµατοποιηµένη επεξεργασία. • Η διαπίστωση ότι η θερµοκρασία είναι ανώτερη της φυσιολογικής συνιστά δεδομένο ειδικής κατηγορίας. • Η θερµοµέτρηση στην είσοδο του χώρου εργασίας πρέπει να λαµβάνει χώρα, τηρουµένων των νοµίµων προϋποθέσεων, αφού θα έχει προηγουµένως αποκλειστεί κάθε διαθέσιµο πρόσφορο µέτρο, το οποίο θα επιλέξει ο υπεύθυνος επεξεργασίας, υπό τον όρο ότι εφαρµόζεται η νοµοθεσία για τα προσωπικά δεδοµένα. Αντίθετα, µια συστηµατική, διαρκής και γενικευµένη συλλογή δεδοµένων προσωπικού χαρακτήρα που οδηγεί στην κατάρτιση και συνεχή ανανέωση προφίλ υγείας εργαζοµένων, δύσκολα θα µπορούσε να χαρακτηριστεί ως σύµφωνη µε την αρχή της αναλογικότητας. | Κατευθυντήριες Γραμμές για την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα στο πλαίσιο της Διαχείρισης του Covid-1 (παρ.1, 2 & 6) | https://www.dpa.gr/APDPXPortlets/htdocs/documentSDisplay.jsp?docid=163,39,44,101,194,223,3,99 |
4 | Ελβετική αρχή | ΟΥΔΕΤΕΡΗ | Δεν αποκλείεται η θερμομέτρηση ως απαγορευμένη πράξη επεξεργασίας. Αναλυτικά: • Η επεξεργασία των δεδομένων μέσω της θερμομέτρησης των εργαζομένων και επισκετπών σε ιδιωτικές εταιρείες θα πρέπει να περιορίζεται στον ελάχιστο βαθμό που είναι απαραίτητη για το σκοπό του περιορισμού της μετάδοσης, αναφορικά με το περιεχόμενο και το χρονικό διάστημα της επεξεργασίας. • Τα δεδομένα θα πρέπει να διαγραφούν το αργότερο με τη λήξη της απειλής της πανδημίας. | "Insofar as private individuals collect medical data such as body temperature before entering buildings or workplaces for the purpose of preventing infection, the processing of this data is to be limited to the minimum necessary to achieve the purpose in terms of its content and time. The information and self-determination of the persons concerned must be respected when collecting data. In this context, answering extensive questions about the state of health to non-medical persons proves to bυ inappropriate and disproportionate. The same applies to personal data processed by private individuals in connection with operational and organizational measures to prevent infection. At the latest when the pandemic threat has ceased to exist, these data must be deleted as a whole. If the use of digital methods for the collection and analysis of mobility and proximity data is considered, they must prove to be proportionate to the purpose of preventing infection. They are only so if they are epidemiologically justified and suitable to have an effect justifying the intervention in the personal rights of the persons affected in order to contain the pandemic in the its current stage." | https://www.edoeb.admin.ch/edoeb/en/home/latest-news/aktuell_news.html#-216122139 |
5 | Γαλλική Αρχή (CNIL) | ΑΡΝΗΤΙΚΗ | Δεν επιτρέπεται η υποχρεωτική θερμομέτρηση των εργαζομένων, επισκεπτών ή άλλων προσωπων. | "Il n’est donc pas possible de mettre en œuvre, par exemple : des relevés obligatoires des températures corporelles de chaque employé/agent/visiteur à adresser quotidiennement à sa hiérarchie ; ou encore, la collecte de fiches ou questionnaires médicaux auprès de l’ensemble des employés/agents." | https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles |
6 | Ιταλική Αρχή (Garante) | ΑΡΝΗΤΙΚΗ | Επιτρέπεται μόνο για τους εργαζομένους, εφόσον υπάρχει ειδική νομοθετική ή διοικητική πρόβλεψη. Αναλυτικά: Μόνο οι Υγειονομικές Αρχές θα πρέπει να συλλέγουν πληροφορίες σχετικά με την κατάσταση της υγείας των προσώπων. Η θερμομέτρηση των εργαζομένων απαγορεύεται, εκτός αν προβλέπεται ειδικώς από τη νομοθεσία ή απαιτείται από τις αρμόδιες αρχές. | "According to the Garante, the collection of such information should be left to healthcare authorities; companies should not engage in the spontaneous collection of health data of their employees, unless this is specifically required by law or requested by the competent authorities." | https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117 |
7 | Ουγγρική Αρχή (NAIH) | ΑΡΝΗΤΙΚΗ | Η θερμομέτρηση αποτελεί δυσανάλογο μέτρο, όταν διεξάγεται από τρίτα πρόσωπα πλην των επαγγελματιών υγείας και των Υγειονομικών Αρχών. | "In accordance with the positions taken by the supervisory authorities of other Member States, the Authority, however, with a view to the current situation of the epidemic in Hungary, regards disproportionate the requirement of screening tests with any diagnostic device (in particular, but not exclusively, with a thermometer) or the introduction of mandatory measurement of body temperature generally involving all employees called for by a measure of the employer, in view of the fact that the collection and evaluation of information related to the symptoms of coronavirus and drawing conclusions from them is the task of health care professionals and authorities." | https://www.naih.hu/files/NAIH_2020_2586_EN.pdf |
8 | Ιρλανδική Αρχή | ΟΥΔΕΤΕΡΗ | Δεν αποκλείεται η θερμομέτρηση ως απαγορευμένη πράξη επεξεργασίας. Αναλυτικά: Οι εργοδότες δικαιολογούνται να ρωτήσουν από τους εργαζόμενους αν είχαν κάποιο σύμπτωμα. Ωστόσο, πιο αναλυτικές λεπτομέρειες θα πρέπει να τίθενται υπό επεξεργασία υπό το φως της αναγκαιότητας και αναλογικότητας και αξιολόγηση του ρίσκου. | "Can an employer require all staff and visitors to the building to fill out a questionnaire requesting information on their recent travel history concerning countries affected by the virus, and medical info such as; symptoms of fever, high temperature, etc? As noted above, employers have a legal obligation to protect the health of their employees and maintain a safe place of work. In this regard, and in the current circumstances, employers would be justified in asking employees and visitors to inform them if they have visited an affected area and/or are experiencing symptoms. Implementation of more stringent requirements, such as a questionnaire, would have to have a strong justification based on necessity and proportionality and on an assessment of risk. This should take into consideration specific organisational factors such as the travel activities of staff attached to their duties, the presence of vulnerable persons in the workplace, and any directions or guidance of the public health authorities." | https://www.dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19 |
9 | Ισπανική Αρχή | ΟΥΔΕΤΕΡΗ | Δεν αποκλείεται η θερμομέτρηση ως απαγορευμένη πράξη επεξεργασίας. Αναλυτικά: Επιτρέπεται η θερμομέτρηση των εργαζομένων, εφόσον αποσκοπεί είτε στη προστασία των ζωτικών συμφερόντων των προσώπων είτε στη συμμόρφωση με νομική υποχρέωση είτε στην προστασία της δημόσιας ασφάλειας. | "Ιn a health emergency situation such as the one referred to in this report, it is necessary to take into account that, in the exclusive scope of the personal data protection regulations, the application of the data protection regulations would allow the data controller to adopt those decisions that are necessary to safeguard the vital interests of natural persons and the compliance with legal obligations or the safeguarding of essential interests in the field of public health, within the provisions of the applicable material regulations." | https://www.aepd.es/es/documento/2020-0017-en.pdf |
10 | Ισλανδική Αρχή | ΟΥΔΕΤΕΡΗ | Επιτρέπεται μόνο για τους εργαζομένους εφόσον παρέχουν τη συγκατάθεσή τους | "However, it should be noted that temperature measurement can take place with the consent of the employee." | https://www.personuvernd.is/personuvernd/frettir/covid-19-og-personuvernd |
11 | Λιθαουνική Αρχή | ΑΡΝΗΤΙΚΗ | Δεν επιτρέπεται η θερμομέτρηση σε εργαζομένους, επισκέπτες κλπ. | "It should be emphasized that data controllers should refrain from collecting temperature readings of staff or visitors, medical records, or other. This cannot be considered as an obligation on the employer. The controller should take active steps to inform data subjects about symptoms, potential risks, ways of managing them, measures to be taken, opportunities for teleworking, the duty of employees to report on COVID-19 or similar symptoms." | https://vdai.lrv.lt/en/news/personal-data-protection-and-coronavirus-covid-19 |
12 | Βελγική Αρχή | ΑΡΝΗΤΙΚΗ | Η θερμομέτρηση δεν μπορεί να θεωρηθεί ως επεξεργασία υπό το ΓΚΠΔ αν δεν συμπεριληφθεί σε σύστημα αρχειοθέτησης ή διαχείρισης προσωπικών δεδομένων. Αντίθετη, η γενικευμένη και συστηματική επεξεργσία εμπίπτει στο πλαίσιο του ΓΚΠΔ και δεν μπορεί να θεωρηθεί αναλογικό μέτρο. | "Une entreprise ou un travailleur peut-elle/il pratiquer des contrôles généralisés et systématiques de la température corporelle des travailleurs et/ou des visiteurs) ? L’APD ne considère pas la simple prise de température comme un traitement de données personnelles. Si ces prises de température ne s’accompagnent pas d’un enregistrement ou d’un traitement de données personnelles, le RGPD n’est donc pas d’application. De manière générale, un employeur ne peut pas prendre des mesures qui sortent du cadre du droit du travail existant ou des instructions des autorités compétentes." | https://www.autoriteprotectiondonnees.be/covid-19-et-traitement-de-données-à-caractère-personnel-sur-le-lieu-de-travail |
13 | Ρωσική Αρχή | ΟΥΔΕΤΕΡΗ | Η θερμομέτρηση επιτρέπεται υπό προϋποθέσεις. Αναλυτικά: για τους εργαζόμενους, με τη νομική βάση της συμμόρφωσης με νομική υποχρέωση, εν προκειμένω με διατάξεις από την εργατική νομοθεσία. Αντίθετα, η νομική βάση για την θερμομέτρηση των επισκεπτών είναι η συγκατάθεση. Στην περίπτωση λήψης θερμική εικόνας τόσο από εργαζόμενους όσο και από επισκέπτες, θα πρέπει να υπάρχει ειδική ενημέρωση κατά την είσοδο των προσώπων στις εγκαταστάσεις της εταιρείας. Το εν λόγω υλικό θα πρέπει να καταστρέφεται εντός μίας ημέρας από τη λήψη τους. | For Employees: Body temperature is information about the state of health and, accordingly, refers to a special category of personal data. The processing of such data without the consent of the subject in accordance with part 2.3 of article 10 of the Federal law on Personal data is allowed if it is carried out in accordance with labor legislation. For Visitors: Visitors who do not have an employment relationship with the organization will express their consent to the collection of body temperature information (without identification) through specific actions expressed in their intention to visit the organization. In this case, when detecting an elevated temperature, the visitor is sent for a consultation with a doctor. For thermal images: Employees, as well as visitors to the organization, must be duly notified of temperature measurements. For this purpose, it is recommended to place a corresponding announcement at the entrance to the organization. The thermal imager performance is recommended to be destroyed within a day after their receipt in view of the achievement of the goal of collecting these indicators. | http://rkn.gov.ru/news/rsoc/news72206.htm |
14 | Λουξεμβουργιανή Αρχή | ΑΡΝΗΤΙΚΗ | Οι εταιρείες θα πρέπει να απέχουν από ενέργειες όπως η θερμομέτρηση εργαζομένων. | "Les acteurs doivent s’abstenir d’exiger que ses employés leur communiquent quotidiennement un relevé de leurs températures corporelles ou que ces derniers remplissent des fiches ou questionnaires médicaux, préalablement établis" | https://cnpd.public.lu/fr/actualites/national/2020/03/coronavirus.html |
15 | Ολλανδική Αρχή | ΑΡΝΗΤΙΚΗ | Δεν επιτρέπεται η θερμομέτρηση των εργαζομένων και των επισκεπτών. Αναλυτικά: Κατά την εξέταση της νομικής βάσης της συγκατάθεσης, η Αρχή καταλήξει ότι σε καμία από τις δύο περιπτώσεις (εργαζομένων & επισκεπτών) δεν πρόκειται για ελεύθερη συγκατάθεση. Η επεξεργασία δεδομένων υγείας θα πρέπει να διενεργείται από ιατρό. | "It is forbidden to temperature people and thus process their health data. Employers often think they are allowed to do so with permission. But this is not possible in an employment relationship, because there is no equivalence there. An employee may then feel pressured to give permission. There is no equivalence for visitors either. The driver does not have to agree, but then gets into a difficult situation. Both the driver and his employer have an interest in gaining access to the site. The driver will therefore feel compelled to give permission. Only a doctor should do health tests and process the medical data of personnel." | https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-temperatuur-meten-mag-niet-zomaar#subtopic-7453 |
16 | Σλοβακική Αρχή | ΟΥΔΕΤΕΡΗ | Επιτρέπεται η θερμομέτρηση. Αναλυτικά: Η θερμόμετρηση αποτελεί επεξεργασία δεδομένων ειδικής κατηγορίας και απαιτεί νομική τεκμηρίωση υπό τα άρθρα 6 και 9 του ΓΚΠΔ. | "The indication of the measured temperature falls within the processing of a specific category of personal data, and for the lawful processing of such data, the GDPR provides for special conditions in Article 9 and the disposal of the legal basis in Article 6." | https://dataprotection.gov.sk/uoou/sk/content/koronavirus-spracuvanie-osobnych-udajov-aktualizovane-1332020 |
17 | European Data Protection Board (EDPB) | ||||
18 | Statement of the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 16 March 2020 | ΟΥΔΕΤΕΡΗ | Δεν υπάρχει ρητή αναφορά στη θερμομέτρηση. Αναφέρεται ότι η επεξεργασία δεδομένων υγείας εργαζομένων θα πρέπει να δικαιολογούνται από τη νομική βάση του δημόσιου συμφέροντος στο πλαίσιο της δημόσιας υγείας ή την προστασία των ζωτικών συμφερόντων, σύμφωνα με τα άρθρα 6 και 9 του ΓΚΠΔ. | "Τhe GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation." | https://edpb.europa.eu/sites/edpb/files/files/news/edpb_covid-19_20200316_press_statement_en.pdf |
19 | Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020 | ΟΥΔΕΤΕΡΗ | Ο εργοδότης νομιμοποιείται να ζητήσει προσωπικά δεδομένα εργαζομένων εφόσον πληροίται η αρχή της αναλογικότητας και της ελαχιστοποίησης των δεδομένων και εφόσον επιτρέπεται από το ισχύον νομοθετικό πλαίσιο. | "Can an employer require visitors or employees to provide specific health information in the context of COVID-19? The application of the principle of proportionality and data minimisation is particularly relevant here. The employer should only require health information to the extent that national law allows it. Is an employer allowed to perform medical check-ups on employees?" | https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf |
20 | 3/2019 Guidelines EDPB | ΔΕΝ ΕΦΑΡΜΟΖΕΤΑΙ | Δεν τίθεται το ζήτημα και οι προϋποθέσεις λειτουργίας για τις θερμοκάμερες. Ωστόσο, η χρήση του παραδείγματος ότι η καταγραφή ασθενούς σε θάλαμο νοσοκομείου αποτελεί επεξεργασία δεδομένων ειδικής κατηγορίας συνεπικουρεί στη διατύπωση ότι η παρακολούθηση της θερμοκρασίας διερχομένων μέσω της θερμοκάμερας αποτελεί επεξεργασία δεδομένων ειδικής κατηγορίας. | "Example 1: A hospital installing a video camera in order to monitor a patient’s health condition would be considered as processing of special categories of personal data (Article 9). Example 2: A hospital is monitoring a patient for medical reasons. The data subject was brought by ambulance unconscious to the hospital. In this case Article 9 (2) (c) could apply (processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent)" | https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-32019-processing-personal-data-through-video_en |
21 | ΑΡΘΡΟΓΡΑΦΙΑ | ||||
22 | COVID-19 in the workplace: differing guidance from data protection authorities | ΟΥΔΕΤΕΡΗ | Συγκεντρωτική ανάλυση της προσέγγισης των λοιπών Ευρωπαϊκών Αρχών | https://www.twobirds.com/en/news/articles/2020/global/covid19-in-the-workplace-guidance-from-data-protection-authorities | |
23 | Coronavirus and data protection – Guidance by data protection authorities | ΟΥΔΕΤΕΡΗ | Συγκεντρωτική ανάλυση της προσέγγισης των λοιπών Ευρωπαϊκών Αρχών για την επεξεργασία των δεδομένων στο πλαίσιο της πρόληψης μετάδοσης του COVID-19. | https://www.hoganlovells.com/~/media/hogan-lovells/pdf/2020%20PDFs/2020_04_23_Coronavirus_and_data_protection_Guidance_by_DPAs_2.pdf | |
24 | COVID-19 and the GDPR: Should Employers Conduct Temperature Checks? | ΟΥΔΕΤΕΡΗ | Επιχειρείται η ανέυρεση της νομικής βάσης σύμφωνα με το άρθρο 9 παρ. 2 ΓΚΠΔ. | "To satisfy grounds of health (occupational medicine) and public health, the checks would need to be carried out by a qualified health professional, which is unlikely to be an option for many organisations. Valid explicit consent is very difficult to secure in an employment context in any event, but even where valid, employees must be able to refuse a temperature check without detriment. This may prevent universal application of your temperature check policy, which ultimately defeats its purpose. Of the four grounds identified, “employment law rights and obligations” is likely to be the ground with the greatest potential, but even it has difficulties. To satisfy this ground, your processing (i.e., the temperature check) must be necessary for the purposes of exercising or performing obligations or rights which are imposed or conferred by law in connection with employment, social security or social protection. For example, in the U.K., this could be an employer’s obligation to provide a safe working environment under Health and Safety at Work Act 1974." | https://www.jdsupra.com/legalnews/covid-19-and-the-gdpr-should-employers-98586/ |
25 | Greek Data Protection Authority Issues Guidelines on Data Protection and Coronavirus | ΟΥΔΕΤΕΡΗ | Αναφορά στις Οδηγίες ΑΠΔΠΧ για Covid & παραπομπές σε άλλες Αρχές Προστασίας Δεδομένων | https://www.insideprivacy.com/covid-19/greek-data-protection-authority-issues-guidelines-on-data-protection-and-coronavirus/ | |