Kara PUODO monitoring w podmiocie medycznym
Kara PUODO – monitoring w podmiocie medycznym – krótkie streszczenie Decyzji PUODO z dnia 17 stycznia 2025r., zapadłem w sprawie o sygn. DKN.5131.4.2024. Prezes Urzędu Ochrony Danych Osobowych, stwierdzając naruszenie przez podmiot wykonujący działalność leczniczą przepisów:
- art. 6 ust. 1 i art. 9 ust. 1 RODO polegające na niezgodnym z prawem przetwarzaniu danych osobowych, w tym danych szczególnej kategorii poprzez zastosowanie monitoringu wizyjnego,
- art. 13 ust. 1 i 2 RODO, polegającego na niespełnieniu obowiązku informacyjnego wobec osób, których dane osobowe objęte były przetwarzaniem, na skutek wprowadzonego monitoringu wizyjnego,
co skutkowało naruszeniem art. 5 ust. 1 lit. a) RODO oraz art. 5 ust. 2 RODO nałożył na podmiot medyczny administracyjną karę pieniężną w kwocie 687 534,75 zł (słownie: sześćset osiemdziesiąt siedem tysięcy pięćset trzydzieści cztery złote i 75/100),
- art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym,
co skutkowało naruszeniem art. 5 ust. 1 lit. f) RODO oraz art. 5 ust. 2 RODO nałożył na podmiot medyczny administracyjną karę pieniężną w kwocie 458 356,50 zł (słownie: czterysta pięćdziesiąt osiem tysięcy trzysta pięćdziesiąt sześć złotych i 50/100).
Utrata kart z nagraniami oraz doniesienia prasowe ...
Administrator Danych Osobowych w związku z kradzieżą lub zgubieniem kart pamięci, na jakich zapisywany był obraz z monitoringu wizyjnego, określonego obszaru, dokonał zgłoszenia naruszenia ochrony danych, równocześnie dokonując stosownego zawiadomienia o podejrzeniu popełnienia przestępstwa. Jak czytamy w Decyzji PUODO cyt.: „(…) Jednocześnie, 3 sierpnia 2023 roku na portalu internetowym (…) opublikowany został artykuł dotyczący praktyk Centrum Medycznego w związku ze stosowanym przez ten podmiot systemem monitoringu. Z treści ww. artykułu wynika, że dziennikarze serwisu, w ramach przekazanych od pracownika ww. placówki informacji ustalili, że cyt. »(…) na oddziale (…), na którym pracuję, dyrekcja zamontowała „w routerze oraz w zegarkach” ukryte kamery. Miały mikrofon, co jest zabronione. O ich instalacji nie byliśmy w żaden sposób poinformowani«. Ponadto, cyt. »Na kamerach zostały zarejestrowane nasze prywatne rozmowy oraz z pewnością wizerunki pacjentów – noworodków i wcześniaków, o czym ich rodzice nie mają pojęcia. (…)”.
Wyjaśnienia Administratora Danych Osobowych ... monitoring wizyjny
Podstawa prawna
cyt.: „Administrator, jako podstawę prawną upoważniającą go do pozyskania danych osobowych na skutek wprowadzonego doraźnego monitoringu wizyjnego na ww. salach Oddziału (…), wskazał:
– art. 23a ust. 1 pkt 2 ustawy z dnia 15 kwietnia 2011 roku o działalności leczniczej (Dz. U. z 2024 r. poz. 799) w związku z § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 roku w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą (Dz. U. z 2022 r. poz. 402),
– art. 6 ust. 1 lit. f) rozporządzenia 2016/679 ze względu na prawnie uzasadniony interes,
– art. 222 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2023 r. poz. 1465 ze zm.) w celu zapewnienia bezpieczeństwa pracowników i ochrony mienia, a także zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę,”
Cel wprowadzenia monitoringu wizyjnego
cyt.: „motywacją i celem wdrożenia monitoringu wizyjnego była troska o zdrowie i bezpieczeństwo noworodków, ze względu na wzmożoną liczbę objawów zakażenia układu pokarmowego,”
Analiza potwierdzająca konieczność wprowadzenia monitoringu wizyjnego
cyt.: „przed wdrożeniem doraźnego monitoringu (tj. 2 dodatkowych urządzeń monitorujących zamontowanych w 2 salach Oddziału (…)) nie została przeprowadzona analiza potwierdzająca konieczność wprowadzenia ww. rozwiązania. Ponadto, podkreślił, że w okresie poprzedzającym zastosowanie dodatkowych urządzeń monitorujących Placówka podjęła czynności mające na celu wyeliminowanie występowania zakażeń noworodków poprzez: wzmożone sprzątanie pomieszczeń, fumigacje, wymianę urządzeń sanitarno-higienicznych, wzmożony reżim sanitarny, przeprowadzenie szkoleń dla rodziców noworodków dotyczących procedur mycia i higieny rąk.”
Obowiązek informacyjny
cyt.: „Placówka wskazała, że spełniła obowiązek informacyjny względem osób przebywających na terenie podmiotu medycznego poprzez cyt. (…) „naklejki znajdujące się na budynku Szpitala w miejscach stosowanego monitoringu, zawierające rzeczone informacje oraz odsyłające do treści klauzuli informacyjnej dotyczącej stosowania monitoringu wizyjnego, poprzez kod QR przekierowujący do strony internetowej z przedmiotową klauzulą”,”
cyt.: „w odniesieniu do pracowników niniejszej placówki medycznej, Administrator zaznaczył, że każda nowozatrudniona osoba jest informowana o stosowanym monitoringu wizyjnym,”
cyt.: „Centrum Medyczne (…) wskazało, że zgodnie z pkt 4 klauzuli informacyjnej, monitoringiem wizyjnym objęte są kluczowe pomieszczenia, którymi w analizowanym przypadku są sale Oddziału (…). Jednocześnie podkreślenia wymaga, że w analizowanej klauzuli informacyjnej nie została ujęta definicja, precyzująca i wyjaśniająca określenie „kluczowe pomieszczenia”.
Wyjaśnienia Administratora Danych Osobowych ... karty pamięci
Rejestracja obrazu
cyt.: „(urządzenia nie dokonywały bieżącego zapisu danych na zewnętrznym serwerze, zapis dokonywał się jedynie na karcie pamięci, więc nie ma dostępu do kopii zapasowej nagrań)”
Liczba osób objętych zdarzeniem
cyt.: „Jednocześnie Placówka poinformowała, że w wyniku przedmiotowego zdarzenia naruszeniu ochrony danych osobowych uległy dane osobowe 190 osób, w tym 30 pacjentów, 60 przedstawicieli ustawowych pacjentów, 97 osób z personelu oraz 3 studentów odbywających praktyki.”
System Zarządzania 27001:2017-06
cyt.: „Centrum Medyczne posiada certyfikat systemu zarządzania zaświadczający, że wprowadziło i stosuje System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami PN-EN ISO/IEC 27001:2017-06, przechodząc coroczne audyty.”
Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje ...
Podstawa prawna przetwarzania danych osobowych art. 23 a ust. 1 pkt 2 u.d.l.
cyt.: „W niniejszej sprawie w pierwszej kolejności należy dokonać analizy wskazanych przez Administratora podstaw prawnych upoważniających go do wprowadzenia dodatkowego monitoringu wizyjnego na 2 salach Oddziału (…). Zgodnie z informacjami przekazanymi w piśmie z 17 sierpnia 2023 roku, normą prawną uzasadniającą wdrożenie ww. monitoringu jest art. 23a ust. 1 pkt 2 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2024 r. poz. 799) w związku z § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 roku w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą (Dz. U. z 2022 r. poz. 402). Art. 23a ust. 1 pkt 2 powołanej wyżej ustawy (w brzmieniu obowiązującym w czasie wystąpienia opisanych w niniejszej decyzji naruszeń rozporządzenia 2016/679) wskazuje, że kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń, w których są udzielane świadczenia zdrowotne oraz pobyt pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych – za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring). Zgodnie ze stanowiskiem Administratora odrębnymi przepisami upoważniającymi go do wprowadzenia doraźnego monitoringu wizyjnego na 2 salach Oddziału (…) na mocy art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej są normy prawne ujęte w § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą. Stosownie do ww. przepisu, w pokojach łóżkowych dopuszcza się instalację urządzeń umożliwiających obserwację pacjentów, jeżeli jest to konieczne w procesie ich leczenia i dla zapewnienia im bezpieczeństwa. Kluczowym elementem w tym przepisie jest wybrzmienie elementu konieczności wprowadzenia monitoringu, jako obligatoryjnego warunku.”
Podstawa prawna przetwarzania danych osobowych – § 29 Rozporządzenia MZ
cyt.: „Mając na celu szczegółową analizę prawną w zakresie wprowadzenia doraźnego monitoringu wizyjnego przez Centrum Medyczne należy odnieść się do Załącznika nr 1 IV pt. „Zespół porodowy” pkt 4 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą, który bezpośrednio odnosi się do możliwości zastosowania monitoringu wizyjnego w pomieszczeniach przeznaczonych dla położnic i noworodków. Zgodnie z tym przepisem, w zespole porodowym powinno znajdować się co najmniej jedno pomieszczenie przeznaczone dla położnic i noworodka w pierwszych godzinach życia, po porodach powikłanych, w którym zapewnia się możliwość obserwacji bezpośredniej lub przy użyciu kamer wyposażonych w funkcje autostartu, w szczególności możliwość obserwacji twarzy. Przepis ten może stanowić podstawę prawną zastosowania takiej formy obserwacji wyłącznie w sytuacji, kiedy stan zdrowia noworodków, w związku z powikłaniami porodowymi, nie jest stabilny i może zagrażać ich życiu lub zdrowiu. W przypadku wdrożenia monitoringu wizyjnego przez Administratora na 2 salach Oddziału (…) (w okresie od 1 lipca do 23 lipca 2023 roku) niniejsza podstawa prawna nie może znaleźć zastosowania, gdyż zgodnie z „Ostatecznym stanowiskiem strony w sprawie” przekazanym w piśmie z 30 sierpnia 2024 roku w pomieszczeniach, w których zamontowany został doraźny monitoring wizyjny znajdowały się cyt.: „dzieci, które zostały przeniesione z 1 i 2 odcinka i nie wymagają już intensywnej terapii. Dzieci przebywające na tych salach są objęte rehabilitacją, nauką karmienia i pielęgnacji przez ich rodziców” –tym samym potwierdzając, że wdrożenie monitoringu nie miało na celu obserwacji noworodków, których życie lub zdrowie było zagrożone.”.
Obowiązek wprowadzenia zmian w regulaminie organizacyjnym podmiotu medycznego.
cyt.: „Administrator zapytany przez Prezesa UODO w piśmie z 31 stycznia 2024 roku o to, czy wprowadził stosowne zmiany w regulaminie organizacyjnym (w związku z wprowadzeniem dodatkowych urządzeń monitorujących) niezgodnie z rzeczywistością wskazał, że cyt. (…) „Zmiany Regulaminu (…) dotyczące monitoringu wizyjnego zostały wprowadzone uchwałą Zarządu (…)”. Nie stanowiło to spełnienia przez Centrum Medyczne powyższego obowiązku ze względu na fakt, że doraźny monitoring wizyjny na 2 salach Oddziału (…) funkcjonował w okresie od 1 lipca do 23 lipca 2023 roku, a więc nie mogła go uwzględnić przywołana przez Administratora uchwała Zarządu (…). W konsekwencji powyższego Placówka nie spełniła w tym zakresie wymogów związanych z wprowadzaniem dodatkowego monitoringu.”
cyt.: „Potwierdzeniem bierności Administratora w związku z analizowanym monitoringiem wizyjnym jest również fakt, że nie dokonał on aktualizacji załącznika nr (…) do Regulaminu (…) Placówki zmienionego uchwałą Zarządu (…), nie wykazując tym samym nowych obszarów objętych monitoringiem wizyjnym. Jednocześnie zaznaczenia wymaga, że zgodnie z rozdziałem (…) Załącznika nr 1 do Uchwały Zarządu (…) spółki X. z (…) cyt. (…) „(…)”. Administrator w prowadzonej korespondencji z organem nadzorczym, w piśmie z dnia 11 marca 2024 roku bezpośrednio przyznał się do nieprawidłowości w ww. zakresie deklarując, że cyt. (…) „Załącznik nr (…) do Regulaminu (…) Szpitala, tj. wykaz budynków i pomieszczeń objętych monitoringiem wizyjnym nie był aktualizowany przed wdrożeniem dodatkowego monitoringu w Oddziale Szpitala”.
Podsumowanie PUODO ...
Brak możliwości powoływania się na art. 23a ust. 1 pkt 2 u.d.l.
cyt.: „Wobec powyższego, z uwagi na wykazane nieprawidłowości we wprowadzeniu doraźnego monitoringu wizyjnego na 2 salach Oddziału (…) Centrum Medyczne nie może posłużyć się art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej, jako podstawą prawną swojego działania, gdyż nie zostały spełnione obligatoryjne warunki do uznania przedmiotowego monitoringu za legalny (tj. brak wprowadzenia adekwatnych regulacji w regulaminie organizacyjnym oraz niewykazanie konieczności wdrożenia monitoringu wizyjnego).”
Brak możliwości powoływania się na art, 6 ust. 1 liut f) RODO
cyt.: „Jak wskazano wyżej, w przypadku placówek medycznych zasady wprowadzania monitoringu wizyjnego (i przetwarzania danych osobowych z tym związanych) regulują przepisy ustawy o działalności leczniczej. Administrator, który nie spełnia zasad jego wprowadzenia wynikających z tych przepisów (jak ma to miejsce w przypadku Centrum Medycznego) dla uzasadnienia jego zastosowania nie może powoływać się na inne przesłanki przetwarzania danych osobowych, w tym przesłankę określoną w art. 6 ust. 1 lit. f) rozporządzenia 2016/679.”
Brak możliwości powoływania się na art. 22(2) k.p.
cyt.: „Za chybione należy uznać także powołanie się Administratora na art. 222 ustawy Kodeks pracy, jako podstawy prawnej upoważniającej do wprowadzenia doraźnego monitoringu na 2 salach Oddziału (…). Zgodnie z treścią ww. przepisu dopuszcza się stosowanie monitoringu w zakładzie pracy, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.”.
cyt.: „Zgodnie z informacjami przekazanymi przez Administratora w prowadzonej dotychczas korespondencji, wdrożenie przedmiotowego monitoringu nie było w żaden sposób związane z zapewnieniem personelowi bezpieczeństwa, czy też ochrony mienia, gdyż zamontowanie urządzeń monitorujących umotywowane było cyt. (…) „wyłącznie przyczynami związanymi z koniecznością wyeliminowania i zapobiegania na przyszłość sytuacji dotyczącej większej niż zazwyczaj liczby objawów zakażeń noworodków”.
cyt.:”Wobec powyższego, wskazana przez Administratora podstawa prawna nie ma zastosowania do ustalonego w trakcie postępowania administracyjnego stanu faktycznego sprawy. Mając na uwadze niniejsze rozbieżności, można odnieść wrażenie, że Administrator miał świadomość bezprawności swojego działania – w związku z powyższym jego działanie miało charakter intencjonalny i umyślny.”.
- czy pracownika powiadomiono o możliwości wprowadzenia przez pracodawcę środków nadzoru wideo i o zastosowaniu takich środków: chociaż w praktyce pracowników można powiadomić na różne sposoby – w zależności od konkretnych faktycznych okoliczności każdej sprawy, powiadomienie powinno co do zasady być jasne co do charakteru monitoringu i nastąpić przed jego zastosowaniem;
- zakres monitoringu prowadzonego przez pracodawcę i stopień ingerencji w prywatność pracownika: w tym względzie należy uwzględnić zakres prywatności w miejscu podlegającym monitorowaniu wraz ze wszelkimi ograniczeniami co do czasu i obszaru oraz liczby osób mających dostęp do wyników;
- czy pracodawca przedstawił uprawnione powody uzasadniające monitoring i jego zakres: im bardziej ingerujący monitoring, tym poważniejsze uzasadnienie jest wymagane;
- czy było możliwe wprowadzenie systemu monitoringu opartego na mniej ingerujących metodach i środkach: w tym względzie należy dokonać oceny w świetle konkretnych okoliczności każdej sprawy, czy cel, do którego dążył pracodawca, można było osiągnąć bez ingerowania w prywatność pracowników w takim zakresie;
- konsekwencje monitoringu dla podlegających mu pracowników: należy uwzględnić, w szczególności, wykorzystanie przez pracodawcę wyników monitoringu oraz to, czy wyniki te zostały wykorzystane do uzyskania zadeklarowanego celu tego środka;
- czy pracownikowi zapewniono odpowiednie gwarancje, zwłaszcza gdy funkcjonowanie monitoringu pracodawcy ma charakter ingerujący: gwarancje takie mogą przyjąć postać m.in. przekazania zainteresowanym pracownikom oraz przedstawicielom personelu informacji o zainstalowaniu i zakresie monitoringu, zadeklarowania takiego środka niezależnemu organowi lub istnienia możliwości złożenia skargi.” (...) W przedmiotowym zakresie wypowiedział się również K. Jaśkowski [w:] E. Maniewska, K. Jaśkowski, Kodeks pracy. Komentarz, wyd. XI, Warszawa 2019, art. 22(2), art. 22(3) zwracając uwagę, że cyt.: „Bez wątpienia jednak monitorowanie pracy pracowników stanowi ingerencję w ich prawo do prywatności. Wykładni komentowanych przepisów należy zatem dokonywać z uwzględnieniem potrzeby wyważenia owych sprzecznych wartości i interesów obu stron stosunku pracy, co oznacza, że monitoring jako rodzaj kontroli pracownika przez pracodawcę musi uwzględniać potrzebę poszanowania dóbr osobistych pracowników, w tym prawa do prywatności.".
Obowiązek poszanowania praw pacjenta ...
Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta
cyt.: „Oprócz praw zagwarantowanych Konstytucją RP warto w niniejszej sprawie przywołać również art. 20 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2024 r. poz. 581), który stanowi, że pacjent ma prawo do poszanowania intymności i godności, w szczególności w czasie udzielania mu świadczeń zdrowotnych. W tym miejscu na szczególne podkreślenie zasługuje fakt, że wprowadzony przez Administratora monitoring wizyjny na 2 salach Oddziału (…) swoim zakresem rejestrował obraz ukazujący zarówno noworodków, jak ich matki, pozwalając na utrwalanie ich wizerunków także podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci czy ich pielęgnacja – co pozostaje w sprzeczności z obowiązkiem poszanowania intymności i godności pacjentów, o których mowa powyżej.”.
Realizacja obowiązków informacyjnych na gruncie RODO ...
Wniosku PUODO dotyczące klauzuli informacyjnej.
cyt.: „Zapis sformułowany w zaprezentowany sposób nie daje pełnowartościowej i wyczerpującej informacji podmiotom danych, co do realnego obszaru objętego monitoringiem wizyjnym w Placówce, w szczególności bezpośrednio nie wskazuje, że monitoring stosowany jest również na salach łóżkowych. Należy stanowczo zaznaczyć, że podczas stosowania monitoringu wizyjnego kluczowym elementem jest precyzyjne i rzetelne wykazanie pomieszczeń, w których zamontowane są urządzenia monitorujące. Użyte przez Administratora określenie „pomieszczenia kluczowe” jest zbyt ogólnikowe i może budzić wątpliwości interpretacyjne. Administrator musi także pamiętać o tym, że informacje w tym zakresie są przeznaczone dla osób, których dane dotyczą, a zatem muszą być dla nich zrozumiałe. Innymi słowy, z treści klauzuli informacyjnej w sposób niebudzący wątpliwości powinno wynikać, w jakich pomieszczeniach monitoring wizyjny został zainstalowany. Użycie sformułowania „kluczowe pomieszczenia” tego wymogu nie spełnia, bowiem osoby, których dane dotyczą, nie znają (i nie muszą znać) zakresu pojęciowego tego terminu, tj. wiedzieć, jakie pomieszczenia Administrator uznaje za kluczowe.”
cyt.: „Zdaniem Centrum Medycznego, które zostało wyrażone w piśmie z 24 października 2023 roku cyt. (…) „Rzeczona klauzula informacyjna celowo została skonstruowana w taki sposób, tj. z ogólnym ujęciem pomieszczeń, które nie są ogólnodostępne, jako „kluczowe pomieszczenia, zgodnie z obowiązującymi przepisami”, aby spełnić ustanowiony w art. 12 RODO wymóg zwięzłości udzielanej informacji, o której mowa w art. 13 RODO, tj. klauzuli informacyjnej. Przy zastosowaniu rozwiązania, w którym wszelkie pomieszczenia objęte monitoringiem zostałyby enumeratywnie wymienione w treści klauzuli informacyjnej, jej objętość byłaby znacznie większa, co nie spełniałoby wspomnianej zasady zwięzłości informacji, a ponadto stałaby się ona nieprzejrzysta, z uwagi na fakt, że sama tylko lista monitorowanych pomieszczeń wypełniałaby większość jej treści”. W tym miejscu należy podkreślić, że Administrator przez pryzmat analizowanej sprawy dokonał nadinterpretacji i wypaczenia art. 12 ust. 1 rozporządzenia 2016/679, gdyż określenie „kluczowe pomieszczenia”, jak to wyżej wykazano, nie jest zrozumiałe dla osób, których dane dotyczą, a zatem nie spełnia wymogu przejrzystego informowania zgodnie z tym przepisem rozporządzenia 2016/679. Zaznaczyć w tym miejscu należy, że nie może dochodzić do sytuacji, w których Administrator zasłaniając się zasadą zwięzłości i przejrzystości nie udziela podmiotom danych pełnej i rzetelnej, a także zrozumiałej dla nich, informacji na temat przetwarzania ich danych osobowych.”
cyt.: „Podkreślić należy, że dla podmiotów danych jedną z nadrzędnych informacji, jaką chcieliby uzyskać w zakresie stosowanego monitoringu w placówkach medycznych, z których usług korzystają, jest informacja o konkretnych pomieszczeniach, w jakich jest on stosowany. Z perspektywy osób, których dane dotyczą, obok podstawy prawnej przetwarzania, jest to najcenniejsza informacja. Usprawiedliwianie zaniechań i nieprawidłowości Administratora w zakresie realizacji zapisów art. 13 rozporządzenia 2016/679 w opisany powyżej sposób jest zatem niedopuszczalne.„
cyt.: „Jednocześnie, pozostając w tematyce obowiązku informacyjnego, należy wskazać, że informacja o stosowanym monitoringu wizyjnym umieszczona została (poprzez naklejkę informacyjną) jedynie na głównych drzwiach Oddziału (…), a nie bezpośrednio przy salach z zamontowanym doraźnym monitoringiem.”.
Rozważania na temat jawności zastosowanego monitoringu wizyjnego ...
Kamery zamontowane w zegarze
cyt.: „Trzeba rozważyć również charakter zastosowanego monitoringu wizyjnego. Pierwotne informacje wskazane w artykule wskazywały, że wprowadzony monitoring wizyjny na 2 salach Oddziału (…) nie miał jawnej formy. Zgodnie z informacjami, zarówno pracownicy, jak i pacjenci nie zostali poinformowani o wdrożonym monitoringu. Dodatkowym aspektem przemawiającym za ww. stwierdzeniem jest fakt, że Administrator do realizacji ww. działań zastosował zegary z funkcją rejestracji obrazu (tj. kamera zamontowana w zegarze umożliwiająca nagrywanie obrazu), o czym poinformował organ nadzorczy w piśmie z 17 sierpnia 2023 roku. W tej samej korespondencji Administrator wskazał, że wykorzystanie tego typu urządzeń monitorujących umożliwiło szybkie działanie i montaż (mając na uwadze konieczność niezwłocznego podjęcia odpowiednich kroków w związku z zagrożeniem bezpieczeństwa noworodków), cyt. (…) „w przeciwieństwie do rozwiązań z kamerami przewodowymi, których montaż wymagałby dłuższego czasu oraz podjęcia bardziej zaawansowanych czynności, m.in. budowlanych, co z uwagi na charakter Oddziału i potencjalną uciążliwość dla normalnego jego funkcjonowania było w tym czasie wykluczone”. Ponadto, podkreślenia wymaga fakt, że wdrożenie doraźnego monitoringu poprzez zamontowanie 2 dodatkowych kamer nie odbywało się na podstawie harmonogramu i nie został sporządzony w niniejszym zakresie protokół dotyczący ich montażu”
cyt.: „Kolejnym czynnikiem pozostającym w opozycji co do jawnego charakteru zastosowanego monitoringu wizyjnego jest niewiedza personelu placówki o wprowadzonych działaniach. Zgodnie z postanowieniami „Polityki (…)” obowiązującej od 1 kwietnia 2019 r. cyt. (…) „(…)”. Administrator zapytany przez Prezesa UODO pismem z 28 lutego 2024 r. o to, czy przed wdrożeniem niniejszego monitoringu poinformował pracowników o wprowadzeniu nowych obszarów objętych monitoringiem zgodnie z obowiązującą w organizacji „Polityką (…)” sekcja „Zasady (…)”, pismem z 11 marca 2024 roku odniósł się do ww. zagadnienia wymijająco, udzielając nieadekwatnej odpowiedzi cyt. (…) „Pracownicy spółki zostali poinformowani o podjęciu w (…) roku uchwały przez zarząd X. w sprawie wprowadzenia zmian w Regulaminie (…) dotyczących wprowadzenia w trybie art. 22 2 Kodeksu Pracy monitoringu wizyjnego na terenie zakładu pracy od dnia 1 lipca 2021 roku. Informacja ta została przekazana wszystkim pracownikom Szpitala mailowo po podjęciu rzeczonej uchwały” (e-mail przesłany do wszystkich pracowników placówki w dniu 25 sierpnia 2021 roku). Wartym przypomnienia jest fakt, że doraźny monitoring wizyjny na salach Oddziału (…) stosowany był w okresie od 1 do 23 lipca 2023 roku, wobec powyższego informacja przekazana pracownikom w 2021 roku siłą rzeczy nie może obejmować rozszerzenia monitoringu, które miało miejsce w 2023 roku.”.
Ocena ryzyka oraz adekwatność środków technicznych i organizacyjnych ...
Ocena ryzyka identyfikująca podatności i wynikające z nich zagrożenia oraz określająca adekwatne środki bezpieczeństwa
cyt.: „Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Administratora, zawartych na zagubionych bądź skradzionych kartach pamięci, które umieszone były w urządzeniach monitoringu wizyjnego (tj. wizerunek oraz dane dotyczące zdrowia), w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego była utrata kontroli nad danymi osobowymi osób, których dane znajdowały się na zagubionych bądź skradzionych kartach pamięci, na których był przechowywany zapis z monitoringu wizyjnego zamontowanego na 2 salach Oddziału (…). Jednocześnie podkreślenia wymaga, że ze względu na charakter i specyfikę Oddziału (…) pacjentami były również dzieci (noworodki). Jest to istotne, gdyż w momencie zagubienia bądź kradzieży kart pamięci z utrwalonymi wizerunkami nowonarodzonych pacjentów nie można wykluczyć upublicznienia pozyskanych przez osobę nieuprawnioną obrazów na serwisach internetowych. Zgodnie z prowadzoną kampanią edukacyjną i opublikowanym poradnikiem pn. „Wizerunek dziecka w intrenecie”, Prezes UODO odnosi się w nim do ryzyk związanych ze wspominanym udostępnianiem wizerunków dzieci, takich jak cyberprzemoc, czy też wykorzystanie treści z ich udziałem w celach przestępczych.”.
cyt.: „Analizując przedłożony dokument należy stwierdzić, że wśród zawartych w analizie ryzyka postanowień Administrator nie wskazał możliwości wystąpienia zdarzenia polegającego na zagubieniu bądź kradzieży zewnętrznych nośników danych (tj. kart pamięci). Wobec powyższego, przyjąć należy, że Centrum Medyczne w sposób nieadekwatny przeprowadziło ww. analizę, nie uwzględniając tym samym adekwatnych ryzyk związanych z prowadzonym w Placówce monitoringiem wizyjnym.”
Certyfikowany system zarządzania ...
PN-EN ISO/IEC 27001:2017-06
cyt.: „Jednocześnie wyszczególnienia wymaga informacja przekazana przez Administratora wskazująca, że cyt. (…) „Spółka od kilkunastu lat posiada certyfikat systemu zarządzania zaświadczający, że wprowadziła i stosuje System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami PN-EN ISO/IEC 27001:2017-06, przechodząc coroczne audyty (ostatni z października 2022 roku). Uzyskanie przedmiotowych certyfikatów poprzedza przeprowadzenie zewnętrznych audytów, weryfikujących m.in. kwestie przestrzegania procedur w zakresie m.in. monitoringu wizyjnego w Szpitalu”. Tym samym budzić musi zaniepokojenie, że placówka medyczna posiadająca taki certyfikat dokonała naruszenia przepisów rozporządzenia 2016/679 w omawianym zakresie w następstwie nieprawidłowo przeprowadzonej analizy ryzyka oraz niezastosowania się do własnych procedur w zakresie zabezpieczenia nośników danych.”.
Propozycja lektury uzupełniającej ...

Art. 23a ust. 1 Ustawa o działalności leczniczej
Kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:
- ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników,
- w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych,
- w których są udzielane świadczenia zdrowotne, jeżeli jest to konieczne w procesie leczenia pacjentów lub do zapewnienia im bezpieczeństwa -w przypadku szpitali, zakładów opiekuńczo-leczniczych, zakładów pielęgnacyjno-opiekuńczych, zakładów rehabilitacji leczniczej i hospicjów
– za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring), uwzględniając konieczność poszanowania intymności i godności pacjenta, w tym przekazywanie obrazu z monitoringu w sposób uniemożliwiający ukazywanie intymnych czynności fizjologicznych, potrzebę zastosowania monitoringu w danym pomieszczeniu oraz konieczność ochrony danych osobowych.
Analiza przepisów art. 23a Ustawy o działalności leczniczej
Kierownik podmiotu wykonującego działalność leczniczą
W przepisie mowa jest o kierowniku, przy czym zgodnie z definicją zawartą w art. 2 ust. 2 pkt. 1 UDL ilekroć mowa jest o kierowniku bez bliższego określenia – rozumie się przez to także zarząd spółki kapitałowej, a w przypadku innych podmiotów wykonujących działalność leczniczą – osobę uprawnioną do kierowania tymi podmiotami i ich reprezentowania na zewnątrz, jeżeli przepisy ustawy nie stanowią inaczej.
Definicja podmiotu wykonującego działalność leczniczą
W przepisie mowa jest o podmiocie wykonującym działalność leczniczą, przy czym zgodnie z definicją zawartą w art. 2 ust. 1 pkt. 5 UDL podmiot wykonujący działalność leczniczą – to podmiot leczniczy, o którym mowa w art. 4 UDL, oraz lekarza, pielęgniarkę lub fizjoterapeutę wykonujących zawód w ramach działalności leczniczej jako praktykę zawodową, o której mowa w art. 5 UDL. Z dniem 10 listopada 2023r. przepis ten zostanie zmieniony przez art. 149 pkt 1 Ustawy z dnia 15 września 2022 r. o medycynie laboratoryjnej z dnia 15 września 2022 r. (Dz.U.2022.2280) zmieniającej nin. ustawę z dniem 10 listopada 2023 r., i zgodnie z nową jego treścią, podmiot wykonujący działalność leczniczą – to podmiot leczniczy, o którym mowa w art. 4 UDL, oraz lekarza, pielęgniarkę, fizjoterapeutę lub diagnostę laboratoryjnego wykonujących zawód w ramach działalności leczniczej jako praktykę zawodową, o której mowa w art. 5 UDL. Zgodnie z art. 4 UDL podmiotami leczniczymi są: przedsiębiorcy w rozumieniu przepisów ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców – we wszelkich formach przewidzianych dla wykonywania działalności gospodarczej, jeżeli ustawa nie stanowi inaczej, samodzielne publiczne zakłady opieki zdrowotnej, jednostki budżetowe, w tym państwowe jednostki budżetowe tworzone i nadzorowane przez Ministra Obrony Narodowej, ministra właściwego do spraw wewnętrznych, Ministra Sprawiedliwości lub Szefa Agencji Bezpieczeństwa Wewnętrznego, posiadające w strukturze organizacyjnej ambulatorium, ambulatorium z izbą chorych lub lekarza podstawowej opieki zdrowotnej, pielęgniarkę podstawowej opieki zdrowotnej lub położną podstawowej opieki zdrowotnej w rozumieniu przepisów ustawy z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej, instytuty badawcze, o których mowa w art. 3 ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz. U. z 2022 r. poz. 498), fundacje i stowarzyszenia, których celem statutowym jest wykonywanie zadań w zakresie ochrony zdrowia i których statut dopuszcza prowadzenie działalności leczniczej, posiadające osobowość prawną jednostki organizacyjne stowarzyszeń, wyżej wymienionych, osoby prawne i jednostki organizacyjne działające na podstawie przepisów o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej, o stosunku Państwa do innych kościołów i związków wyznaniowych oraz o gwarancjach wolności sumienia i wyznania, jednostki wojskowe – w zakresie, w jakim wykonują działalność leczniczą.
Regulamin organizacyjny podmiotu wykonującego działalność leczniczą
Kierownik, o jakim mowa w przepisie ma możliwość, innymi słowy został wyposażony w określone uprawnienie, z którego może skorzystać ale nie musi korzystać. Kierownik, o jakim mowa w przepisie może dokonać określenia, sposobu obserwacji pomieszczeń.
Dokonanie określenia sposobu obserwacji pomieszczeń realizowane jest w regulaminie organizacyjnym. Zgodnie z art. 23 ust. 1 UDL sprawy dotyczące sposobu i warunków udzielania świadczeń zdrowotnych przez podmiot wykonujący działalność leczniczą, nieuregulowane w ustawie lub statucie, określa regulamin organizacyjny ustalony przez kierownika. Uwaga jednak, albowiem zgodnie z art. 23 ust. 2 UDL ustawodawca zdecydował o wyłączeniu obowiązku o jakim mowa w ust. 1 względem praktyk zawodowych, o których mowa w art. 18 ust. 4 i 6, art. 19 ust. 4 i 6 oraz art. 19a ust. 3 – pod warunkiem jednak, że w ramach tych praktyk nie prowadzi się obserwacji pomieszczeń, o której mowa w art. 23a ust. 1 – innymi słowy jeśli w ramach ww. praktyk zawodowych prowadzona jest obserwacja pomieszczeń na zasadach określonych w art. 23a ust. 1 UDL, do takich praktyk również stosuje się art. 23 ust. 1 UDL.
Z ostrożności jednak podnoszę, iż możliwość, o jakiej mowa w przepisie odnosi się tylko do braku obowiązku podejmowania decyzji w zakresie stosowania monitoringu wizyjnego, a nie odnosi się ona do braku obowiązku dokonania stosownych zapisów w treści regulaminu organizacyjnego podmiotu wykonującego działalność leczniczą. Innymi słowy kierownik podmiotu leczniczego, który podjął decyzję o zastosowaniu monitoringu wizyjnego, ma obowiązek wprowadzenia stosownych zapisów do treści regulaminu organizacyjnego.
Monitoring pomieszczeń ogólnodostępnych
W przepisie mowa jest o pomieszczeniach ogólnodostępnych, jakie znajdują się w podmiocie wykonującym działalność leczniczą. W przepisie mowa jest o tym, iż sposób obserwacji pomieszczeń ogólnodostępnych może zostać określony, tylko wtedy, kiedy jest to niezbędne.
Sposób obserwacji ma być niezbędny do tego, aby zapewnione zostało bezpieczeństwo pacjentów.
Sposób obserwacji ma być niezbędny do tego, aby zapewnione zostało bezpieczeństwo pracowników.
Z użycia kwantyfikatora „lub” wynika, że sposób obserwacji ma być niezbędny do tego, aby zapewnione zostało bezpieczeństwo pacjentów albo zapewnione zostało bezpieczeństwo pracowników, albo zapewnione zostało bezpieczeństwo pacjentów i pracowników, łącznie.
Monitoring pomieszczeń w których udzielane są świadczenia zdrowotne – według przepisów
W przepisie mowa jest o pomieszczeniach w których udzielane są świadczenia zdrowotne, jakie znajdują się w podmiocie wykonującym działalność leczniczą.
W przepisie mowa jest o pomieszczeniach pobytu pacjentów, jakie znajdują się w podmiocie wykonującym działalność leczniczą.
W przepisie mowa jest o pomieszczeniach wskazanych, ale ich wyliczenie nie tworzy katalogu zamkniętego.
W przepisie mowa jest o pokojach łóżkowych.
W przepisie mowa jest pomieszczeniach higieniczno–sanitarnych.
W przepisie mowa jest o przebieralniach.
W przepisie mowa jest o szatniach.
Sposób obserwacji pomieszczeń, jakie wymienione zostały w przepisie, może zostać określony tylko wtedy, kiedy wynika to z przepisów odrębnych. Innymi słowy określenie sposobu obserwacji pomieszczeń, o jakich mowa w przepisie możliwe jest tylko i wyłącznie, jeśli odrębne przepisy wprowadzają takie rozwiązanie.
Monitoring pomieszczeń w których udzielane są świadczenia zdrowotne – określone podmioty
W przepisie mowa jest o pomieszczeniach w których udzielane są świadczenia zdrowotne.
W przepisie mowa jest o tym, że określenie sposobu obserwacji pomieszczeń, o jakich mowa w przepisie musi być koniecznością.
W przepisie mowa jest tym, że określenie sposobu obserwacji pomierzeń, o jakich mowa w przepisie, musi być koniecznością ocenioną z punktu widzenia procesu leczenia pacjentów.
W przepisie mowa jest tym, że określenie sposobu obserwacji pomierzeń, o jakich mowa w przepisie, musi być koniecznością ocenioną z punktu widzenia bezpieczeństwa pacjentów. Innymi słowy określenie sposobu obserwacji pomieszczeń musi być konieczne dla tego, aby bezpieczeństwo zostało zapewnione, aby bezpieczeństwo pacjentów zostało zapewnione za sprawą określenia sposobu obserwacji w formie monitoringu.
Z użycia kwantyfikatora „lub” wynika, że określenie sposobu obserwacji pomieszczeń, jest możliwe albo wtedy, kiedy jest to konieczne w procesie leczenia pacjentów, albo wtedy kiedy jest to konieczne dla zapewnienia bezpieczeństwa pacjentów, albo wtedy kiedy jest to konieczne w procesie leczenia pacjentów oraz łącznie wtedy, kiedy jest to konieczne dla zapewnienia bezpieczeństwa pacjentów.
W przepisie mowa jest o szpitalach, gdzie sposób obserwacji pomieszczeń może zostać określony na warunkach o jakich mowa w przepisie.
W przepisie mowa jest o zakładach opiekuńczo-leczniczych, gdzie sposób obserwacji pomieszczeń może zostać określony na warunkach o jakich mowa w przepisie.
W przepisie mowa jest o zakładach pielęgnacyjno-opiekuńczych, gdzie sposób obserwacji pomieszczeń może zostać określony na warunkach o jakich mowa w przepisie.
W przepisie mowa jest o zakładach rehabilitacji leczniczej, gdzie sposób obserwacji pomieszczeń może zostać określony na warunkach o jakich mowa w przepisie.
W przepisie mowa jest o hospicjach, gdzie sposób obserwacji pomieszczeń może zostać określony na warunkach o jakich mowa w przepisie.
Elementy, jakie muszą zostać uwzględnione przy określaniu sposobu obserwacji pomieszczeń
Sposób obserwacji, o jakim mowa w przepisie realizowany jest za pomocą określonych urządzeń. Urządzeń, które dają możliwość rejestracji obrazu. Sposób obserwacji pomieszczeń, z wykorzystaniem takich urządzeń nazwany został, jako monitoring.
W przepisie mowa jest o tym, że urządzenia muszą posiadać funkcjonalność dającą możliwość rejestracji obrazu, co nie oznacza w praktyce, że funkcjonalność ta musi być realizowana.
Określenie sposobu obserwacji pomieszczeń, o jakich mowa w przepisie, musi zostać dokonane z uwzględnieniem poszanowania intymności i godności pacjenta. Innymi słowy prowadzenie obserwacji pomieszczeń, nie może naruszać prawa pacjenta do poszanowania intymności i godności. Pacjent ma prawo do poszanowania intymności i godności, w szczególności w czasie udzielania mu świadczeń zdrowotnych. Prawo do poszanowania godności obejmuje także prawo do umierania w spokoju i godności. Poszanowanie intymności i godności pacjenta, obejmuje zagwarantowanie tego, iż przekazywanie obrazu z monitoringu realizowane będzie w taki sposób, iż nie będą ukazywane intymne czynności fizjologiczne.
Określenie sposobu obserwacji pomieszczeń, o jakich mowa w przepisie, musi zostać dokonane z uwzględnieniem potrzeby zastosowania takiego monitoringu w konkretnym pomieszczeniu.
Określenie sposobu obserwacji pomieszczeń, o jakich mowa w przepisie, musi zostać dokonane z uwzględnieniem konieczności ochrony danych osobowych. Innymi słowy wprowadzenie sposobu obserwacji pomieszczeń uwzględniać musi fakt, iż dane osobowe przetwarzane w związku z określeniem sposobu obserwacji w formie monitoringu podlegają ochronie.