Kara Prezesa UODO za monitoring wizyjny w placówce medycznej

1 tydzień temu

Stan Faktyczny i Decyzja Prezesa UODO

W okresie od 1 do 23 lipca 2023 r. Centrum Medyczne Ujastek w Krakowie wdrożyło monitoring wizyjny na oddziale neonatologii, rejestrując obraz noworodków oraz ich matek podczas intymnych czynności, takich jak karmienie piersią czy pielęgnacja. Co istotne, zarówno pacjenci, jak i personel nie byli świadomi istnienia kamer, co oznacza, iż monitoring miał charakter niejawny. Ponadto, dzieci objęte monitoringiem nie wymagały intensywnej terapii, a ich stan zdrowia nie był zagrożony.

W toku postępowania UODO ustalono, iż placówka:

  • Nie posiadała podstawy prawnej do przetwarzania danych osobowych dzięki monitoringu wizyjnego, co narusza art. 6 i 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO).
  • Nie spełniła obowiązku informacyjnego wobec pacjentów i personelu, łamiąc tym samym art. 13 RODO.
  • Nie wdrożyła odpowiednich środków technicznych i organizacyjnych zabezpieczających nagrania, co jest wymagane na mocy art. 32 RODO.
  • Nie przeprowadziła oceny skutków dla ochrony danych (DPIA) przed wdrożeniem monitoringu, co stanowi naruszenie art. 35 RODO.

Dodatkowo placówka zgłosiła naruszenie wynikające z zagubienia lub kradzieży kart pamięci z urządzeń rejestrujących obraz, które nie były odpowiednio zabezpieczone (np. przez szyfrowanie). W związku z powyższymi naruszeniami Prezes UODO uznał, iż działania podmiotu leczniczego naruszyły przepisy RODO (w szczególności art. 5, 6, 9, 13 oraz 35 RODO) i nałożył na Centrum Medyczne Ujastek łączną karę administracyjną w wysokości 1 145 891,25 zł, podzieloną na:

  1. 687 534,75 zł – za niezgodne z prawem wdrożenie monitoringu.
  2. 458 356,50 zł – za brak odpowiednich środków zabezpieczających, co doprowadziło do incydentu związanego z niezabezpieczonymi kartami pamięci.

Deklaracja UODO o Zwiększeniu Nakładania Kar

W odpowiedzi na rosnącą liczbę naruszeń ochrony danych osobowych, UODO zadeklarował intensyfikację działań kontrolnych oraz zwiększenie liczby nakładanych kar administracyjnych. Szczególna uwaga ma być skierowana na sektor medyczny, w którym przetwarzane są dane szczególnych kategorii, takie jak informacje o stanie zdrowia pacjentów. Prezes UODO podkreślił, iż brak zgodności z RODO w zakresie monitoringu wizyjnego będzie surowo sankcjonowany, a placówki medyczne muszą niezwłocznie dostosować swoje procedury do obowiązujących regulacji.

Skutki Naruszenia

Naruszenie przepisów RODO w zakresie monitoringu wizyjnego może prowadzić do poważnych konsekwencji dla podmiotów medycznych:

  1. Sankcje finansowe – Kary administracyjne mogą sięgać choćby 20 milionów euro lub 4% rocznego światowego obrotu przedsiębiorstwa.
  2. Odpowiedzialność cywilna – Pacjenci mogą dochodzić odszkodowań na mocy art. 82 RODO.
  3. Utrata zaufania pacjentów – Niezgodne z prawem przetwarzanie danych może prowadzić do negatywnego wizerunku placówki.
  4. Zwiększony nadzór regulatora – UODO może nakładać dodatkowe obowiązki, w tym regularne audyty.
  5. Konieczność dostosowania procedur – Placówki medyczne będą musiały wdrożyć dodatkowe środki zapewniające zgodność z RODO, co generuje koszty i wymaga zaangażowania specjalistów.
  6. Wpływ na funkcjonowanie placówki – Konieczność przeszkolenia personelu, dostosowania infrastruktury IT i zmiany procedur operacyjnych w celu spełnienia wymagań regulatora.

Analiza Podstaw Prawnych

Regulacje krajowe

Podstawowym aktem prawnym regulującym monitoring wizyjny w placówkach medycznych jest art. 23a ustawy z 15.4.2011 r. o działalności leczniczej (t.j. Dz.U. z 2024 r. poz. 799; dalej: DziałLeczU). Zgodnie z tym przepisem kierownik placówki może określić w regulaminie organizacyjnym zasady stosowania monitoringu w pomieszczeniach ogólnodostępnych oraz tych, w których udzielane są świadczenia zdrowotne.

Na gruncie art. 23a ust. 1 DziałLeczU wskazać zatem należy, że:

  1. monitoring w pomieszczeniach ogólnodostępnych jest, co do zasady, dozwolony – o ile jest niezbędny do realizacji celów wskazanych w art. 23a ust. 1 DziałLeczU,
  2. przed prowadzeniem monitoringu należy dokonać oceny niezbędności jego stosowania.
  3. monitoring w pomieszczeniach udzielania świadczeń zdrowotnych oraz pobytu pacjentów jest, co do zasady, zakazany,
  4. monitoring w pomieszczeniach udzielania świadczeń zdrowotnych oraz pobytu pacjentów może być stosowany, tylko gdy przepisy szczególne dają taką możliwość,
  5. dopuszczalny jest jedynie monitoring rejestrujący obraz – nie ma zatem możliwości stosowania monitoringu rejestrującego dźwięk,
  6. stosowanie monitoringu w każdym ze wskazanych obszarów wymaga określenia sposobu obserwacji pomieszczeń w regulaminie organizacyjnym.

Regulacje unijne

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) określa szczegółowe zasady przetwarzania danych osobowych, w tym danych szczególnych kategorii, takich jak dane dotyczące zdrowia. Zgodnie z art. 9 ust. 2 lit. h RODO, przetwarzanie tych danych jest dopuszczalne wyłącznie w przypadkach, gdy jest to niezbędne do zapewnienia opieki zdrowotnej lub leczenia, przy jednoczesnym wdrożeniu odpowiednich środków zabezpieczających, takich jak obowiązek zachowania tajemnicy zawodowej.

Podsumowanie

Decyzja Prezesa UODO z 17.1.2025 r., DKN.5131.4.2024, Legalis, stanowi istotne ostrzeżenie dla wszystkich podmiotów stosujących monitoring wizyjny w placówkach medycznych. Niezgodne z prawem przetwarzanie danych osobowych, brak odpowiednich środków informacyjnych i zabezpieczających oraz niedopełnienie obowiązków dotyczących oceny ryzyka mogą skutkować wysokimi karami administracyjnymi, odpowiedzialnością cywilną i utratą zaufania pacjentów. Co więcej, monitoring wizyjny był wielokrotnie przedmiotem postępowań administracyjnych, co potwierdza, iż organ nadzorczy konsekwentnie reaguje na naruszenia przepisów o ochronie danych osobowych.

Przedsiębiorcy i podmioty lecznicze muszą dokładnie analizować i przestrzegać obowiązujących regulacji dotyczących ochrony danych, zapewniając transparentność, legalność oraz bezpieczeństwo przetwarzania danych w ramach systemów monitoringu. Intensyfikacja kontroli i wzmożone nakładanie kar przez UODO będą stanowić dodatkowy bodziec do dostosowywania procedur i wdrażania najlepszych praktyk w ochronie danych osobowych.

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Kara Prezesa UODO za monitoring wizyjny w placówce medycznej

Powiązane

Jego skrzynkę zalewały maile z reklamami. Postanowił walczyć. "Wystarczyły 2-3 maile"

Jego skrzynkę zalewały maile z reklamami. Postanowił walczyć...

10 godzin temu
To nie mail od ZUS. Uważaj, w co klikasz

To nie mail od ZUS. Uważaj, w co klikasz

17 godzin temu
Ważne zmiany dotyczące biletów okresowych w transporcie publicznym. Co będzie z kartami miejskimi i biletami okresowymi?

Ważne zmiany dotyczące biletów okresowych w transporcie publ...

1 dzień temu
Na co uważać, wystawiając i wydając świadectwo pracy?

Na co uważać, wystawiając i wydając świadectwo pracy?

1 dzień temu
Zmiana nazwiska a wpis do księgi wieczystej

Zmiana nazwiska a wpis do księgi wieczystej

2 dni temu
Nowe regulacje DORA wyzwaniem dla sektora finansowego – raporty muszą trafić do KNF do końca kwietnia

Nowe regulacje DORA wyzwaniem dla sektora finansowego – rapo...

2 dni temu
Kolejny projekt ustawy implementującej dyrektywę NIS 2 – nowe wymagania regulacyjne coraz bliżej

Kolejny projekt ustawy implementującej dyrektywę NIS 2 – now...

2 dni temu
Prezes UODO nałożył karę za nieprawidłowe usytuowanie organizacyjne inspektora ochrony danych osobowych

Prezes UODO nałożył karę za nieprawidłowe usytuowanie organi...

2 dni temu
Nowe wytyczne UODO dotyczące zgłaszania naruszeń danych osobowych

Nowe wytyczne UODO dotyczące zgłaszania naruszeń danych osob...

2 dni temu