1. Wprowadzenie monitoringu wizyjnego: Centrum Medyczne wdrożyło monitoring wizyjny na dwóch salach szpitalnych Oddziału, wskazując jako przyczynę konieczność zapewnienia zdrowia i bezpieczeństwa noworodków. Urządzenia rejestrujące obraz były zamontowane w zegarach i nie informowano o nich pacjentów ani personelu w sposób spełniający wymogi RODO. Centrum Medyczne powoływało się na art. 23a ustawy o działalności leczniczej oraz art. 6 ust. 1 lit. f) RODO jako podstawy prawne wprowadzenia monitoringu, jednak w toku postępowania ustalono, że nie przeprowadzono analizy potwierdzającej konieczność jego zastosowania. Monitoring w opisanej formie działał od 1 do 23 lipca 2023 roku.
2. Brak spełnienia obowiązków informacyjnych: Informacje o monitoringu były przekazywane jedynie za pomocą naklejek z kodami QR oraz poprzez klauzulę informacyjną dostępną na stronie internetowej szpitala i w recepcji. Nie zapewniono bezpośredniego powiadomienia pacjentów oraz ich przedstawicieli ustawowych o instalacji kamer, co naruszało  13 RODO dotyczący realizacji obowiązku informacyjnego. Pracownicy placówki również nie zostali poinformowani w pełnym zakresie o zastosowaniu monitoringu, w tym o jego zakresie i celach.
3. Utrata danych z monitoringu: 24 lipca 2023 roku personel placówki zauważył, że urządzenia monitorujące zostały przestawione, a karty pamięci, na których przechowywane były nagrania, zaginęły lub zostały skradzione. Centrum Medyczne zgłosiło incydent do Prokuratury oraz VIII Komisariatu Policji, jednak dochodzenie zostało umorzone z powodu niewykrycia sprawcy czynu. W wyniku naruszenia doszło do utraty danych osobowych 190 osób, w tym 30 pacjentów, 60 przedstawicieli ustawowych pacjentów, 97 pracowników, 3 studentów odbywających praktyki. Dane były przechowywane wyłącznie na kartach pamięci, które nie były szyfrowane, co naruszyło zasadę integralności i poufności danych osobowych.
4. Nieprawidłowości w dokumentacji i regulaminie placówki: Przed wdrożeniem monitoringu nie dokonano aktualizacji regulaminu organizacyjnego, co było wymagane na podstawie przepisów ustawy o działalności leczniczej. Centrum Medyczne powoływało się na uchwałę zarządu dotyczącą monitoringu, jednak nie obejmowała ona instalacji dodatkowych urządzeń monitorujących na dwóch salach Oddziału. W regulaminie placówki nie określono precyzyjnie, jakie pomieszczenia uznawane są za “kluczowe” i objęte monitoringiem, co utrudniało ocenę zgodności działania z przepisami.
5. Postępowanie wyjaśniające Prezesa UODO: 3 sierpnia 2023 roku na portalu internetowym opublikowano artykuł, w którym anonimowy pracownik placówki ujawnił, że monitoring obejmował także nagrywanie dźwięku, co jest zakazane. W związku z tym 7 sierpnia 2023 roku Prezes UODO wszczął postępowanie wyjaśniające, a następnie 28 lutego 2024 roku postępowanie administracyjne dotyczące naruszenia ochrony danych osobowych.
6. Ustalenia UODO: W toku postępowania ustalono, że:

   • Nie przeprowadzono analizy ryzyka przed wdrożeniem dodatkowego monitoringu.
   • Centrum Medyczne nie wykazało, że monitoring był niezbędny dla bezpieczeństwa pacjentów.
   • Nie wdrożono wystarczających środków technicznych zabezpieczających dane przed dostępem osób nieuprawnionych.
   • Monitoring mógł naruszać prawo pacjentów do intymności i godności, co jest sprzeczne z ustawą o prawach pacjenta i Konstytucją RP.

7. Nałożone kary i konsekwencje: Za niezgodne z prawem przetwarzanie danych osobowych oraz niespełnienie obowiązku nałożono administracyjną karę pieniężną w wysokości 687 534,75 zł. Natomiast za brak odpowiednich zabezpieczeń technicznych i organizacyjnych nałożono drugą karę pieniężną w wysokości 458 356,50 zł Łączna wysokość kar wyniosła 1 145 891,25 zł. Ponadto wskazano konieczność wprowadzenia zmian w zakresie monitorowania pacjentów i ochrony danych osobowych w placówkach medycznych.

Pełna treść decyzji organu nadzorczego

Aby uniknąć podobnych naruszeń, zalecamy: