SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
SKLEP RODO - Listy kontrolne i audytowe, wzory dokumentów, klauzule. Zakup gotowe rozwiązania!
WEBINARY- tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
WEBINARY- tematyczne spotkania online z ekspertami. Zobacz nadchodzące wydarzenia
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Audyty RODO, pełnienie funkcji IOD, profesjonalne doradztwo RODO - office@jds.com.pl
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
odoserwis.pl profesjonalny serwis o ochronie danych osobowych
Moje konto

Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Zamów abonament
Naruszenie ochrony danych

Za jakie naruszenia przepisów RODO Prezes UODO nałożył ponad milion złotych kary w związku z monitoringiem w placówce medycznej

18/02/2025

Puodo, Puodo Nałożył Karę, Kara Za Naruszenie Rodo,

Analizujemy jakie przepisy RODO naruszyło Centrum Medyczne Ujastek sp. z o.o. w związku ze stosowaniem monitoringu. Na co należy zwrócić uwagę i o spełnienie jakich wymogów prawnych należy zadać aby zapobiec naruszeniom RODO w sytuacji gdy stosowany jest monitoring


Monitoring na oddziale neonatologii naruszał przepisy RODO

 

Prezes UODO ustalił, że w okresie 1-23 lipca 2023 roku na dwóch salach neonatologii monitoring rejestrował obraz noworodków i ich matek m.in. podczas karmienia piersią i czynności pielęgnacyjnych. Dzieci nie wymagały wówczas intensywnej terapii i stałego monitorowania stanu zdrowia. Kamery zostały nie tylko wprowadzone niezgodnie z przepisami. W dodatku był to monitoring ukryty. Pracownicy placówki i pacjenci nie wiedzieli o prowadzonej rejestracji obrazu.

 

To jednak nie koniec zaniedbań Centrum Medycznego. Karty pamięci, na których rejestrowano zapisy ze wspomnianego monitoringu zostały zgubione lub ukradzione.

 

W toku prowadzonych czynności wyjaśniających PUODO ustalił, że nie były one zaszyfrowane, a urządzenia rejestrujące obraz nie zostały skonfigurowane zgodnie z wymaganiami obowiązującymi w placówce. Centrum Medyczne Ujastek Sp z o.o. nie przeprowadziło również analizy ryzyka uwzględniającej przyczynę incydentu ani nie określiło środków bezpieczeństwa, które mogłyby mu zapobiec.

 

Z tego powodu PUODO nałożył na placówkę medyczną dwie kary administracyjne łącznie ponad milion złotych tj. 687 534,75 złotych za ukryty monitoring oraz 458 356,50 złotych za brak wdrożenia odpowiednich środków bezpieczeństwa.

 

Jakich naruszeń na gruncie RODO dopuściła się placówka medyczna:

1. Bezpodstawne przetwarzanie danych osobowych (art. 6 i 9 RODO)

Monitoring w placówce medycznej stanowi przetwarzanie danych osobowych, w tym danych szczególnej kategorii (art. 9 ust. 1 RODO). Wprowadzenie ukrytego monitoringu narusza zasadę legalności, ponieważ nie istniała żadna z podstaw prawnych wymienionych w art. 6 RODO uzasadniająca jego stosowanie. Ponadto dane osobowe dotyczące zdrowia mogą być przetwarzane wyłącznie po spełnieniu jednej z przesłanek wskazanych w art. 9 ust. 2 RODO, czego Centrum Medyczne nie wykazało.

 

2. Brak realizacji obowiązku informacyjnego (art. 12-14 RODO)

Administrator nie poinformował pacjentów oraz personelu o prowadzeniu monitoringu, co stanowi naruszenie zasady przejrzystości przetwarzania danych osobowych (art. 5 ust. 1 lit. a RODO). Zgodnie z art. 13 RODO każdy administrator ma obowiązek przekazać osobom, których dane dotyczą, informacje na temat zakresu, celu i podstawy prawnej przetwarzania ich danych.

 

3. Nieprzeprowadzenie oceny skutków dla ochrony danych (DPIA) – art. 35 RODO

RODO wymaga, aby w przypadkach, gdy przetwarzanie danych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator przeprowadził ocenę skutków dla ochrony danych (Data Protection Impact Assessment – DPIA). Centrum Medyczne nie przeprowadziło takiej analizy przed wdrożeniem monitoringu, co stanowi istotne naruszenie przepisów.

 

4. Brak wykazania konieczności stosowania monitoringu (art. 23a ustawy o działalności leczniczej)

Zgodnie z art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej oraz § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r., stosowanie monitoringu w pokojach łóżkowych pacjentów jest dopuszczalne wyłącznie w przypadku, gdy jest to konieczne w procesie leczenia lub zapewnienia bezpieczeństwa pacjentów. Placówka nie wykazała konieczności wdrożenia monitoringu wizyjnego, co oznacza, że jego stosowanie było bezprawne.

 

5. Naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO)

RODO przewiduje, że przetwarzanie danych osobowych powinno być adekwatne, stosowne i ograniczone do tego, co niezbędne do realizacji celu. Centrum Medyczne nie wykazało, że monitoring był niezbędny do zapewnienia bezpieczeństwa pacjentów, zwłaszcza że dzieci przebywające w monitorowanych salach nie wymagały intensywnej terapii.

 

6. Brak odpowiednich środków zabezpieczających dane osobowe (art. 32 RODO)

Jednym z najpoważniejszych naruszeń było zagubienie lub kradzież kart pamięci zawierających nagrania pacjentów, które nie były zaszyfrowane. Administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających integralność i poufność danych osobowych. Zaniedbanie w tym zakresie stanowi rażące naruszenie art. 32 RODO.

 

Dodatkowo naruszenia na gruncie innych przepisów:

1. Naruszenie praw pacjentów

Zgodnie z art. 20 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, pacjent ma prawo do poszanowania intymności i godności. Wprowadzenie monitoringu rejestrującego intymne czynności pacjentek i noworodków, jak karmienie czy pielęgnacja, pozostaje w sprzeczności z tymi gwarancjami prawnymi. Naruszenie tego prawa może stanowić podstawę do dochodzenia roszczeń cywilnych.

2. Naruszenie Konstytucyjnego prawa do prywatności

Monitoring wprowadzony w sposób niezgodny z przepisami rażąco narusza prawo do ochrony życia prywatnego, rodzinnego i autonomii informacyjnej obywateli, zagwarantowane w art. 47 i 51 Konstytucji RP. Sąd Apelacyjny w Warszawie w wyroku z 19 listopada 2019 r. (sygn. akt VI ACa 397/18) podkreślił, że prawo do prywatności stanowi element godnościowej koncepcji osoby ludzkiej, co znajduje potwierdzenie również w art. 30 Konstytucji RP.

 

Na co należy zwrócić uwagę stosując monitoring?

Aby uniknąć naruszeń przepisów prawa, administratorzy wdrażający monitoring powinni zwrócić uwagę na następujące kwestie:

  • Podstawa prawna przetwarzania – monitoring musi być oparty na jednej z przesłanek legalizujących przetwarzanie danych (np. uzasadniony interes, bezpieczeństwo pacjentów, wymóg prawny).
  • Obowiązek informacyjny – osoby objęte monitoringiem powinny zostać o tym poinformowane w sposób czytelny i jednoznaczny (np. tablice informacyjne, klauzule informacyjne).
  • Minimalizacja danych – monitoring nie może być stosowany w miejscach, gdzie narusza prywatność osób, np. w salach chorych, łazienkach, czy pokojach pielęgnacyjnych.
  • Ocena skutków dla ochrony danych (DPIA) – w przypadku monitoringu mogącego powodować wysokie ryzyko naruszenia prywatności, konieczne jest przeprowadzenie DPIA.
  • Zabezpieczenie danych – nagrania powinny być przechowywane w sposób bezpieczny, a dostęp do nich powinien być ograniczony tylko do osób upoważnionych.
  • Określenie czasu przechowywania danych – nagrania powinny być usuwane po upływie okresu niezbędnego do realizacji celu ich zbierania.
  • Zgodność z regulaminami placówki – wszelkie zmiany w zakresie monitoringu powinny być uwzględnione w regulaminie organizacyjnym placówki i zgodne z prawem krajowym.

 

Puodo, Puodo Nałożył Karę, Kara Za Naruszenie Rodo,
Zobacz również
UODO opublikował zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych
Naruszenie ochrony danych
UODO opublikował zaktualizowany poradnik dotyczący naruszeń ochrony danych osobowych

Poradnik stanowi kompleksowe opracowanie dotyczące naruszeń ochrony danych osobowych, obejmujące definicje, przyczyny, metody zapobiegania i identyfikowania naruszeń, obowiązki administratorów i podmiotów przetwarzających, ocenę ryzyka, a także procedury zgłaszania i za(...)

PUODO nałożył ponad 571 tysięcy kary na Toyota Bank Polska S.A. za nieprawidłowości w rejestrze czynności przetwarzania i brak niezależności IOD
Naruszenie ochrony danych
PUODO nałożył ponad 571 tysięcy kary na Toyota Bank Polska S.A. za nieprawidłowości w rejestrze czynności przetwarzania i brak niezależności IOD

Toyota Bank Polska S.A. profilowała dane klientów, żeby określić ich zdolność kredytową. Nie uwzględniła jednak tej kwestii w rejestrze czynności przetwarzania danych. Było to jednak dopiero pierwsze z zaniedbań w zakresie RODO, które Prezes PUODO stwierdził podczas kon(...)

Panek SA zapłaci ponad 1,5 miliona za wyciek danych osobowych podczas przebudowy strony
Naruszenie ochrony danych
Panek SA zapłaci ponad 1,5 miliona za wyciek danych osobowych podczas przebudowy strony

Przy przebudowie strony internetowej Panek SA omyłkowo udostępniono dane osobowe prawie 21,5 tysiąca klientów oraz pracowników. Spółka zawiadomiła o incydencie PUODO, jednocześnie twierdząc, że odpowiedzialność za całe zajście ponosi firma zapewniająca obsługę informaty(...)

do góry

Informujemy, iż zgodnie z przepisem art. 25 ust. 1 pkt. 1 lit. b ustawy z dnia 4 lutego 1994 roku o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz. U. 2006 r. Nr 90 poz. 631), dalsze rozpowszechnianie artykułów i porad prawnych publikowanych w niniejszym serwisie jest zabronione.

© 2014 Copyright Odoserwis.pl

evostudio.pl adic.pl