Monitoring wizyjny w placówkach medycznych

03.04.2025
Autor: Adam Klimowski
prawa podmiotów danych

Przepisy dotyczące używania kamer w podmiotach wykonujących działalność leczniczą obowiązują w Polsce już od kilku lat. Mimo to wciąż jest to obszar, generujący problemy z zakresu ochrony danych osobowych i bezpieczeństwa informacji. W ostatnim czasie stał się także przedmiotem szczególnego zainteresowania ze strony Prezesa Urzędu Ochrony Danych Osobowych. Z tego względu wszystkie podmioty lecznicze, stosujące lub planujące stosować u siebie kamery, powinny zadbać o zgodność tego systemu z RODO.

W ciągu paru ostatnich miesięcy Prezes UODO podał do publicznej wiadomości informacje, świadczące o tym, że wykorzystywanie monitoringu wizyjnego przez podmioty wykonujące działalność leczniczą będzie przedmiotem jego zwiększonego zainteresowania.

W pierwszej kolejności był to plan kontroli sektorowych, ogłoszony 16 stycznia 2025 r. Takie plany są ogłaszane corocznie; w ich treści podawane są sektory, branże, których działalność będzie weryfikowana, a także obszary z RODO, uwzględniane w ramach kontroli. W planie na 2025 r. pojawiły się między innymi podmioty, które przetwarzają dane o stanie zdrowia – w aspekcie sposobu zapewnienia ich bezpieczeństwa.

Sama ta informacja nie oznaczałaby szczególnego zainteresowania monitoringiem wizyjnym. Jednakże 3 lutego br. organ nadzorczy ogłosił decyzję w sprawie nałożenia dwóch kar administracyjnych na Centrum Medycznej Ujastek z Krakowa za nieprawidłowości w zakresie stosowania kamer. Łączna wysokość tych kar przekroczyła milion złotych. Kilkanaście dni później Prezes UODO wystosował także do ministra zdrowia pismo, w treści którego przekazał swoje uwagi, dotyczące przepisów o stosowaniu monitoringu przez podmioty medyczne. W ocenie PUODO uregulowania prawne wymagają poprawy w celu zapewnienia ich zgodności z RODO.

Działalność urzędu oznacza zatem, że działające w Polsce placówki medyczne, które stosują lub planują stosować monitoring wizyjny, powinny dokonywać tego ze szczególną starannością. W jaki sposób powinna się ona przejawiać?

W pierwszej kolejności należy ustalić, czy stosowanie kamer jest w ogóle potrzebne. Jako uzasadnienie dla wykorzystywania monitoringu bardzo często wskazuje się potrzebę zapewnienia bezpieczeństwa pacjentów, pracowników lub innych osób przebywających na terenie placówki medycznej. Cele te są jasne i godne pochwały; należy jednak zadać sobie pytanie, czy nie byłoby możliwe ich zrealizowanie w inny sposób, bez wykorzystywania systemu rejestracji obrazu.

Konieczne jest także zadbanie o to, by realizacja wybranych celów była zgodna z przepisami prawa. Tutaj w szczególności należy zwrócić uwagę na treść ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej. Wyróżnia ona trzy obszary na terenie placówki medycznej i przypisuje im wymogi, dotyczące możliwości stosowania kamer:

obszary ogólnodostępne (np. rejestracja, korytarz, parking itd.) – mogą być objęte monitoringiem, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników,
pomieszczenia, gdzie przebywają pacjenci lub są im udzielane świadczenia zdrowotne (pokoje łóżkowe, pomieszczenia higieniczno-sanitarne, przebieralnie, szatnie itd.) – mogą być objęte monitoringiem, jeśli wynika to z przepisów odrębnych,
pomieszczenia, w których udzielane są świadczenia zdrowotne – mogą być objęte monitoringiem, jeżeli jest to konieczne w procesie leczenia pacjentów lub dla zapewnienia im bezpieczeństwa; podkreślenia wymaga, że dotyczy to jedynie szpitali, zakładów opiekuńczo-leczniczych, zakładów pielęgnacyjno-opiekuńczych, zakładów rehabilitacji leczniczej i hospicjów.

Kolejną istotną sprawą jest zadbanie o bezpieczeństwo systemu rejestracji obrazu. Dostęp zarówno do sprzętu, jak i do obrazu bieżącego lub nagrań powinno mieć jak najmniejsze grono osób. Nagrania powinny być także zabezpieczone przed nieuprawnioną modyfikacją, kradzieżą, zgubieniem lub innymi negatywnymi sytuacjami. Oprócz tego należy pamiętać, że nagrania nie mogą być przechowywane w nieskończoność; niezbędne jest wyznaczenie maksymalnego okresu trzymania zarejestrowanego obrazu. W świetle przepisów ustawy o działalności leczniczej i Kodeksu pracy maksymalny okres to 3 miesiące (który można przedłużyć w przypadku, w którym nagrania obrazu stanowią dowód w postępowaniu prowadzonym na podstawie prawa lub pracodawca powziął wiadomość, iż mogą one stanowić dowód w postępowaniu).

Z punktu widzenia pacjenta lub innej osoby przebywającej na terenie placówki medycznej istotne jest, by wiedziała, kiedy znajduje się w oku kamery. Niestety, wiele podmiotów ogranicza informowanie pacjentów do wywieszenia tabliczki „Obiekt monitorowany”, która nie spełnia wymogów RODO ani ustawy o działalności leczniczej. Takie działanie jest błędne i może stać się podstawą skargi do Prezesa Urzędu Ochrony Danych Osobowych, Rzecznika Praw Pacjenta lub podobnej instytucji. Obowiązkiem placówki medycznej jako administratora danych jest przekazanie osobom, znajdującym się w zasięgu monitoringu, bardziej szczegółowych informacji na ten temat. Obejmują one w szczególności dane placówki medycznej, cel przetwarzania danych i podstawę prawną ich wykorzystywania. Dokładny sposób realizacji obowiązku należy oczywiście skonsultować z inspektorem ochrony danych lub inną osobą, która odpowiada w podmiocie leczniczym za temat ochrony danych osobowych i bezpieczeństwa informacji.

Powyższe działania nie wyczerpują oczywiście tematu obowiązków, dotyczących wykorzystywania monitoringu wizyjnego w sposób zgodny z RODO. Pozwalają jednak na zaadresowanie istotnych obszarów – szczególnie w tych podmiotach, które wprowadziły systemy kamer bez konsultacji z osobą odpowiedzialną za bezpieczeństwo danych osobowych. Najlepszy moment na taką konsultację był w momencie wdrażania monitoringu wizyjnego – ale drugi najlepszy moment jest teraz.

Autor

Adam Klimowski

Specjalista ds. ochrony danych osobowych

Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Posiada ponad 10 lat doświadczenia w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Współautor pierwszego zatwierdzonego w Polsce kodeksu RODO dla placówek medycznych. Współautor publikacji „ODO. Compliance. Praktyczny komentarz z przykładami i orzecznictwem. Praxis”.

Z tej samej kategorii

Monitoring wizyjny w placówkach medycznych Więcej

Ochrona danych osobowych w Prawie komunikacji elektronicznej Więcej

Prawo do bycia zapomnianym Więcej

Ochrona danych osobowych na tle sprawy Morele.net Więcej

Ochrona danych osobowych w procesie obsługi zgłoszeń sygnalistów Więcej

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

WSZYSTKIE Z KATEGORII

Kategorie

Analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia RODO
Wydarzenia
Regulamin
Polityka prywatności
Raportowanie ESG

Blog

Inspektor Ochrony Danych
Dopuszczalność cold calling i cold mailing na gruncie RODO
Kiedy nie trzeba spełniać obowiązku informacyjnego z RODO
Dane byłego pracownika – co z nimi zrobić, aby być w zgodzie z RODO?
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
Ochrona medycznych danych osobowych

Czytaj dalej >>