1 godzina temu
Kara za monitoring w Centrum Medycznym
Decyzja Prezesa UODO z 17.1.2025 r., DKN.5131.4.2024, Legalis, będąca przedmiotem skargi, dotyczyła dwóch odrębnych naruszeń. Po pierwsze Organ ustalił, iż w okresie od 1 do 23.7.2023 r. na oddziale neonatologii Centrum Medycznego U. funkcjonował ukryty monitoring wizyjny, rejestrujący obraz noworodków oraz ich matek wykonujących czynności o charakterze intymnym, związane z karmieniem, pielęgnacją oraz opieką poporodową. Placówka wskazywała, iż noworodki nie wymagały już intensywnej terapii, a ich stan zdrowia nie był zagrożony, jednak w ocenie Organu okoliczność ta pozostawała bez znaczenia wobec faktu, iż monitoring obejmował przestrzeń wymagającą zapewnienia szczególnej ochrony prywatności. Prezes UODO zwrócił uwagę, iż choćby o ile stan zdrowia dzieci był stabilny, to nie zmieniało to faktu, iż były one pacjentami oddziału neonatologii, a przebywające z nimi matki realizowały czynności o szczególnie wrażliwym charakterze. Organ podkreślił również, iż monitoring miał charakter niejawny – pacjenci oraz pracownicy nie zostali poinformowani o rejestracji obrazu, co stanowiło oczywiste naruszenie art. 13 RODO oraz standardu przejrzystości przetwarzania danych, który w obszarze medycznym odgrywa rolę fundamentalną. W związku z tą częścią naruszeń Organ nałożył karę w wysokości 687 534,75 zł, uznając, iż potajemna rejestracja obrazu pacjentów w kontekście czynności intymnych jest naruszeniem o szczególnie wysokiej wadze.
Drugie naruszenie dotyczyło zagubienia lub kradzieży kart pamięci z urządzeń rejestrujących obraz w tych samych salach. Centrum Medyczne zgłosiło incydent Prezesowi UODO, który w toku czynności wyjaśniających ustalił, iż nagrania nie były zaszyfrowane, a konfiguracja urządzeń nie odpowiadała standardom obowiązującym w placówce. Stwierdzono, iż nośniki zawierające nagrania były niechronione, a samo rozwiązanie techniczne nie spełniało wymagań odporności na utratę danych. Analiza ryzyka przedstawiona przez CM U. nie obejmowała zagrożeń, które ostatecznie doprowadziły do incydentu, a także nie wskazywała środków, które mogłyby mu zapobiec, co – w ocenie organu – dodatkowo świadczyło o braku prawidłowej implementacji zasady rozliczalności. Prezes UODO uznał to za naruszenie obowiązków wynikających z art. 24, 25 i 32 RODO i nałożył drugą karę w wysokości 458 356,50 zł, podkreślając, iż przetwarzanie danych dzieci i kobiet w połogu wymaga wdrożenia środków o podwyższonym poziomie ochrony, obejmujących m.in. szyfrowanie, kontrolę dostępu i systemowe zarządzanie nośnikami.
Centrum Medyczne U. kwestionowało obie kary, zarzucając Organowi naruszenia przepisów KPA, w tym art. 7, 77 § 1, 80 i 107 § 3 KPA, wskazując na rzekomy brak wyczerpującego ustalenia stanu faktycznego i dowolną ocenę materiału. W odniesieniu do prawa materialnego spółka twierdziła, iż obowiązek informacyjny został spełniony, a zastosowane środki techniczne i organizacyjne były adekwatne. Podnosiła również, iż monitoring miał podstawę prawną w art. 23a ustawy z 15.4.2011 r. o działalności leczniczej (t.j. Dz.U. z 2025 r. poz. 450; dalej: DziałLeczU) oraz § 29 rozporządzenia Ministra Zdrowia z 26.3.2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą (t.j. Dz.U. z 2022 r. poz. 402), zaś w zakresie pracowników – w art. 22 KP. Podkreślała przy tym, iż intencją instalacji monitoringu było zapewnienie bezpieczeństwa noworodkom i adekwatnego reagowania na ewentualne nieprawidłowości, a także wskazywała, iż system miał stanowić element wewnętrznych procedur organizacyjnych szpitala. Spółka utrzymywała, iż Prezes UODO nieprawidłowo zakwalifikował naruszenia jako dwie odrębne operacje przetwarzania, co doprowadziło do sprzecznego z art. 83 ust. 3 RODO nałożenia dwóch kar, zamiast jednolitej, scalonej sankcji.
Rozstrzygnięcie WSA w Warszawie
Wojewódzki Sąd Administracyjny w całości odrzucił argumentację spółki. W ocenie Sądu Prezes UODO prawidłowo przeprowadził postępowanie, zgromadził materiał dowodowy i dokonał jego oceny zgodnie z zasadą swobodnej oceny dowodów. WSA podkreślił, iż charakter i zakres monitoringu oznaczały głęboką ingerencję w prywatność pacjentów, a jego ukryty charakter prowadził do naruszenia podstawowych zasad przetwarzania danych, w tym rzetelności i legalności. Sąd wskazał również, iż rejestracja obejmowała czynności o charakterze intymnym, co potwierdzało przetwarzanie danych o szczególnej wrażliwości, niezależnie od tego, czy administrator wprost deklarował taki zamiar. WSA zauważył, iż pacjentki nie miały możliwości podjęcia świadomej decyzji co do obecności kamer, a brak jakiejkolwiek informacji o rejestracji obrazu Sąd ocenił jako jaskrawe naruszenie zasady przejrzystości.
Odnosząc się do podstaw prawnych monitoringu, Sąd jednoznacznie wskazał, iż art. 23a DziałLeczU nie pozwala na stosowanie monitoringu w przestrzeniach, w których pacjenci mogą znajdować się w stanie wymagającym ochrony intymności. Tym bardziej przepis ten nie może być używany jako podstawa do instalowania urządzeń rejestrujących obraz w salach neonatologii, które z definicji są miejscem szczególnej opieki i wrażliwości. Sąd nie zgodził się również z odwołaniem do przepisów Kodeksu pracy, wskazując, iż monitoring obejmował przede wszystkim pacjentów, a nie pracowników, a cele prewencyjno-kontrolne określone w art. 22 KP nie odnoszą się do sytuacji tego rodzaju i nie mogą służyć do usprawiedliwienia rejestracji obrazu w trakcie czynności intymnych.
WSA zwrócił także uwagę, iż spółka sama potwierdziła, iż naruszenie ochrony danych objęło 190 osób, co pozostawało w oczywistej sprzeczności z argumentem o niewielkim zasięgu zdarzenia. W ocenie Sądu nałożenie dwóch kar było zasadne, ponieważ naruszenia dotyczyły dwóch całkowicie odrębnych segmentów przetwarzania – nielegalnej rejestracji obrazu oraz braku środków bezpieczeństwa nośników danych, przy czym każde z nich wywoływało odmienne skutki i wiązało się z inną kategorią ryzyk. W konsekwencji Prezes UODO prawidłowo zastosował art. 83 RODO oraz dokonał adekwatnej oceny okoliczności obciążających i łagodzących, a wysokość nałożonych sankcji odpowiadała zarówno skali naruszenia, jak i charakterowi działalności placówki.
W rezultacie WSA uznał, iż decyzja Prezesa UODO nie narusza prawa procesowego ani materialnego w stopniu mogącym uzasadniać jej uchylenie, i oddalił skargę w całości. Orzeczenie to potwierdza, iż monitoring w obszarach wymagających zapewnienia szczególnej ochrony intymności pacjentów – zwłaszcza w kontekście danych szczególnych kategorii – wymaga zachowania najwyższych standardów transparentności i legalności, a ingerencja w prywatność musi być ograniczona do absolutnego minimum.
Komentarz
Wyrok WSA w sprawie CM U. potwierdza rosnące oczekiwania zarówno Prezesa UODO, jak i sądów, wobec podmiotów leczniczych w zakresie wykazywania zgodności przetwarzania danych szczególnej kategorii. Sprawa ta dobrze ilustruje znaczenie zasad privacy by design i privacy by default, zwłaszcza o ile dane są utrwalane i przechowywane na nośnikach podatnych na utratę lub kradzież, oraz wskazuje na konieczność przeprowadzania analiz ryzyka, które w sposób rzeczywisty odzwierciedlają zagrożenia związane z operacjami przetwarzania. Orzeczenie uwidacznia również, iż niejawny monitoring wizyjny w obszarach związanych z opieką nad pacjentami będzie traktowany jako ciężkie naruszenie RODO, bez względu na deklarowaną intencję administratora, a odpowiedzialność za brak wdrożenia środków technicznych i organizacyjnych nie może zostać przerzucona na czynniki losowe. Placówki medyczne powinny zatem szczególnie skrupulatnie oceniać celowość i proporcjonalność takich rozwiązań oraz dokumentować analizy ryzyka i środki techniczne zapewniające bezpieczeństwo danych. Wyrok może stanowić istotny punkt odniesienia dla podmiotów planujących wdrożenie systemów monitoringu, wskazując, iż obowiązek informacyjny i adekwatna konfiguracja systemu stanowią elementy całkowicie niepodlegające kompromisom, a wszelkie braki w tym zakresie będą traktowane jako naruszenia o poważnym charakterze.
Wyrok WSA w Warszawie z 30.9.2025 r., II SA/Wa 536/25
