Dochodzenie trwające od czerwca 2020 r. wykazało, że w okresie od czerwca 2020 r. do stycznia 2021 r. w związku z wybuchem pandemii COVID-19 na lotnisku w stolicy Belgii wykonywane były pomiary temperatury ciała przystosowanymi do tego kamerami termowizyjnymi. Kontrola przebiegała w dwóch etapach. Najpierw osoby, których temperatura przekraczała 38 stopni Celsjusza były proszone o ponowne przejście przez pas dla kamer. Gdy ta wciąż pokazywała gorączkę, pasażer był kierowany do osobnego gabinetu lekarskiego, gdzie mierzono mu temperaturę manualnie oraz sprawdzano, czy jego objawy nie wskazują na infekcję COVID-19. Jeśli obecność wirusa była potwierdzona, pasażer nie miał możliwości powrotu do terminala i podróży samolotem, a fakt ten był odnotowywany w specjalnie przeznaczonym do tego kwestionariuszu. Fotografie pasażerów z odpowiednio zielonym lub czerwonym światłem, gdy ich temperatura przekraczała dozwoloną wartość, były przechowywane w pamięci RAM urządzeń rejestrujących.
Zgodnie z artykułem 9 RODO dane dotyczące stanu zdrowia to jedna ze szczególnych kategorii danych obok między innymi danych biometrycznych czy danych ujawniających pochodzenie rasowe lub etniczne. Dane te mogą być przetwarzane jedynie w kilku enumeratywnie wymienionych w RODO przypadkach.
Podczas dochodzenia wyszło na jaw, że Port Lotniczy i zespół ratunkowy w Brukseli przetwarzając dane osobowe pasażerów nie miały ważnej podstawy prawnej wymaganej zgodnie z artykułem 6 ust. 1 i 9 ust. 2 RODO. Przetwarzający za podstawę przetwarzania podawali Protokół, który, jak się okazało, również nie był zgodny z artykułem 6 ust. 3 RODO, ponieważ nie był wiążący w rozumieniu belgijskiego prawa. Ponadto, RODO w artykule 35 ust. 1 stanowi, że „Jeżeli dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”. Taka ocena skutków przetwarzania danych nie miała miejsca w zakresie gromadzenia danych zawartych w kwestionariuszu wypełnianym przez pasażerów, a także przechowywania tych danych przez okres 5 lat. Ze względu na brak podstawy prawnej przetwarzania w polityce prywatności administratora danych naruszono także zasadę przejrzystości przetwarzania. To kolejna niezgodność z prawem unijnym.
Biorąc pod uwagę wszystkie powyższe okoliczności, ale także mając na uwadze konieczność walki z rozprzestrzenianiem się pandemii COVID-19 belgijski Urząd zdecydował o nałożeniu na podmioty kary administracyjnej w wysokości 200 000 i 20 000 EUR.
Źródła:
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-48-2022.pdf
https://edpb.europa.eu/news/national-news/2022/temperature-checks-brussels-airport-belgium-part-fight-against-covid-19_en