Monitoring wizyjny w placówkach medycznych – wyzwania legislacyjne

Regulacje krajowe

Podstawowym aktem prawnym regulującym monitoring wizyjny w placówkach medycznych jest art. 23a ustawy z 15.4.2011 r. o działalności leczniczej (t.j. Dz.U. z 2024 r. poz. 799; dalej: DziałLeczU). Zgodnie z tym przepisem kierownik podmiotu leczniczego może określić w regulaminie organizacyjnym zasady stosowania monitoringu w pomieszczeniach ogólnodostępnych oraz tych, w których udzielane są świadczenia zdrowotne. Ustawa z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781; dalej: OchrDanychU) przewiduje możliwość inicjatywy ustawodawczej PUODO w przypadku wykrycia luk prawnych. Ponadto istnieją dodatkowe regulacje wykonawcze, które określają szczegółowe wymagania dotyczące instalowania urządzeń monitorujących w konkretnych typach placówek, takich jak szpitale psychiatryczne, oddziały pediatryczne czy hospicja.

Regulacje unijne

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO) przewiduje szczegółowe zasady przetwarzania danych osobowych, w tym danych szczególnych kategorii, do których należą dane dotyczące zdrowia. Zgodnie z art. 9 ust. 2 lit. h RODO przetwarzanie takich danych może odbywać się wyłącznie w przypadkach, gdy jest to niezbędne do zapewnienia opieki zdrowotnej lub leczenia, przy jednoczesnym zapewnieniu adekwatnych zabezpieczeń, takich jak tajemnica zawodowa.

Zgodnie z orzecznictwem Trybunału Sprawiedliwości UE, wszelkie ingerencje w prywatność jednostek muszą być proporcjonalne i jasno określone. Oznacza to, iż ustawodawca krajowy ma obowiązek wprowadzenia ścisłych regulacji, które określają, w jakich sytuacjach monitoring wizyjny może być stosowany, w jakim zakresie oraz jakie środki ochronne powinny być wdrożone.

Standardy konstytucyjne

Konstytucja RP przewiduje ochronę prywatności (art. 47 Konstytucji RP), autonomii informacyjnej jednostki (art. 51 Konstytucji RP) oraz proporcjonalność ograniczeń praw obywatelskich (art. 31 ust. 3 Konstytucji RP). Trybunał Konstytucyjny wielokrotnie wskazywał na konieczność szczegółowego uregulowania zasad przetwarzania danych w ustawach. Brak precyzyjnych regulacji w zakresie monitoringu może prowadzić do naruszenia praw pacjentów, a także do nieuzasadnionego przetwarzania ich danych osobowych.

Prezes UODO w kierowanym do Ministerstwa Zdrowia piśmie zwraca uwagę na skutki wynikające z braku dostatecznych regulacji w DziałLeczU, które by gwarantowały bezpieczeństwo oraz rozliczalność dla procesu przetwarzania danych osobowych:

1. brak jednoznacznych zasad stosowania monitoringu – art. 23a DziałLeczU nie precyzuje procedur stosowania monitoringu, co prowadzi do dowolności w jego stosowaniu przez placówki medyczne. Prezes UODO wskazuje, iż taka niejasność może skutkować nadużyciami, w tym niekontrolowanym dostępem do nagrań;
2. ryzyko nadmiernej ingerencji w prywatność – PUODO sygnalizuje, iż monitoring w pokojach pacjentów, pomieszczeniach sanitarnych czy zabiegowych może naruszać ich godność oraz prawo do intymności. Istnieją przypadki, w których pacjenci zgłaszali skargi dotyczące obecności kamer w miejscach wymagających szczególnego poszanowania prywatności;
3. problemy z rozliczalnością administratorów danych – brak jednoznacznych zasad przetwarzania nagrań oraz okresu ich przechowywania stanowi wyzwanie dla administratorów danych. Prezes UODO wskazuje na konieczność określenia, kto i na jakich zasadach może mieć dostęp do nagrań oraz w jaki sposób powinny być one usuwane po określonym czasie;
4. brak wymogu analizy ryzyka – PUODO wskazuje, iż RODO przewiduje obowiązek przeprowadzania oceny skutków dla ochrony danych (dalej: DPIA), która nie jest wymagana na gruncie krajowych regulacji dotyczących monitoringu w placówkach medycznych. Taka ocena pozwoliłaby na lepsze dostosowanie praktyk monitoringu do rzeczywistych potrzeb i zagrożeń;
5. brak konsultacji z pacjentami i personelem – wprowadzenie monitoringu powinno być poprzedzone szerokimi konsultacjami z pacjentami oraz pracownikami medycznymi. Prezes UODO zwraca uwagę, iż brak takich konsultacji prowadzi do konfliktów i poczucia braku kontroli nad danymi osobowymi.

Podsumowanie

Biorąc pod uwagę powyższe zagadnienia, niezbędne jest doprecyzowanie regulacji dotyczących stosowania monitoringu wizyjnego w placówkach medycznych. Proponowane zmiany powinny obejmować:

1. sprecyzowanie zasad stosowania monitoringu – określenie dopuszczalnych miejsc instalacji kamer oraz warunków ich stosowania. Powinny zostać opracowane szczegółowe wytyczne, które uwzględnią specyfikę różnych placówek medycznych;
2. obowiązek przeprowadzenia oceny skutków dla ochrony danych – wprowadzenie wymogu DPIA dla podmiotów leczniczych planujących instalację monitoringu, aby zminimalizować ryzyko naruszeń;
3. zasady przechowywania nagrań – ustalenie maksymalnego okresu przechowywania nagrań oraz środków ich zabezpieczenia. Konieczne jest zapewnienie, iż nagrania nie będą przechowywane dłużej niż to absolutnie konieczne;
4. konsultacje z pacjentami i personelem – wprowadzenie obowiązkowych konsultacji z przedstawicielami pacjentów i pracowników w procesie decyzyjnym dotyczącym monitoringu;
5. dostosowanie regulacji do standardów unijnych – uwzględnienie orzecznictwa TSUE i EROD w zakresie ochrony danych osobowych i prawa do prywatności.

Wprowadzenie powyższych zmian zapewni zgodność krajowych regulacji z wymogami RODO oraz zagwarantuje ochronę prywatności pacjentów i personelu placówek medycznych.