Prezes Urzędu Ochrony Danych Osobowych przeprowadzi kontrolę w Szpitalu Południowym w Warszawie. Postępowanie ma objąć m.in. zasady działania monitoringu, w tym informacje o możliwym rejestrowaniu dźwięku, a także procedury przetwarzania danych osobowych pacjentów i personelu.
UODO poinformował, że o potencjalnych nieprawidłowościach dowiedział się z doniesień medialnych. Według ujawnionych informacji monitoring w placówce miał rejestrować nie tylko obraz, ale również dźwięk. Organ nadzorczy zwraca uwagę, że wdrożenie takiego rozwiązania wymagałoby wyraźnej podstawy prawnej.
Monitoring z dźwiękiem pod szczególną kontrolą
Monitoring w placówkach medycznych jest zagadnieniem szczególnie wrażliwym ze względu na charakter przetwarzanych informacji. Szpitale mają dostęp do danych dotyczących zdrowia, a więc informacji objętych szczególną ochroną na gruncie RODO.
Kontrola ma ustalić, czy stosowane przez Szpital Południowy rozwiązania były zgodne z przepisami dotyczącymi ochrony danych osobowych. UODO sprawdzi również, czy placówka wdrożyła odpowiednie środki techniczne i organizacyjne, które ograniczają ryzyko nieuprawnionego dostępu do nagrań oraz innych danych.
Z perspektywy przepisów kluczowe będzie nie tylko samo ustalenie, czy monitoring rejestrował dźwięk, ale także zakres jego działania, cel stosowania, czas przechowywania nagrań oraz dostęp do zarejestrowanych materiałów.
UODO przypomina wcześniejszą sprawę
Urząd wskazuje, że w przeszłości badał już przypadki niezgodnego z prawem stosowania monitoringu w placówkach medycznych. Jedna z takich spraw dotyczyła Centrum Medycznego Ujastek.
Prezes UODO nałożył wówczas na placówkę dwie kary administracyjne o łącznej wysokości 1 145 891,25 zł. Sprawa dotyczyła urządzeń rejestrujących obraz w dwóch salach oddziału neonatologii, które – według organu – działały niezgodnie z obowiązującymi przepisami.
Kary obejmowały także zarzuty dotyczące niewystarczających zabezpieczeń danych przechowywanych na kartach pamięci znajdujących się w urządzeniach monitorujących. Decyzję Prezesa UODO podtrzymał następnie Wojewódzki Sąd Administracyjny w Warszawie, oddalając skargę placówki.
Kontrole obejmują cały sektor szpitalny
Kwestia monitoringu wizyjnego w szpitalach jest jednym z tematów tegorocznych kontroli sektorowych prowadzonych przez UODO. Urząd analizuje, czy placówki medyczne stosują rozwiązania proporcjonalne do celu, w jakim monitoring został wdrożony, oraz czy właściwie chronią prywatność pacjentów.
W przypadku Szpitala Południowego kontrola ma objąć również inne obszary związane z przetwarzaniem danych. Z medialnych publikacji wynikało bowiem, że mogło dojść do naruszeń zasady prawidłowości oraz integralności danych, określonych w art. 5 RODO.
Pojawiły się także informacje o możliwym ujawnianiu danych dotyczących stanu zdrowia pacjentów. Dane medyczne należą do szczególnej kategorii danych osobowych, dlatego ich przetwarzanie wymaga zachowania podwyższonych standardów bezpieczeństwa i poufności.
Szpital będzie musiał wyjaśnić procedury
W toku czynności kontrolnych UODO będzie analizował dokumentację, procedury wewnętrzne oraz sposób organizacji przetwarzania danych w placówce. Kontrolerzy mogą sprawdzić m.in. uprawnienia pracowników, zasady dostępu do systemów, okresy retencji danych oraz procedury reagowania na potencjalne naruszenia.
Sama zapowiedź kontroli nie przesądza jeszcze o stwierdzeniu naruszenia przepisów ani o nałożeniu kary. Jej celem jest ustalenie, czy doniesienia medialne znajdują potwierdzenie oraz czy Szpital Południowy prawidłowo realizuje obowiązki wynikające z RODO i innych przepisów dotyczących ochrony danych.
Ewentualne wnioski i dalsze działania Prezesa UODO będą zależały od wyników postępowania kontrolnego.
