Prezes UODO Mirosław Wróblewski nałożył dwie kary na Centrum Medyczne Ujastek Sp. z o.o. z siedzibą w Krakowie o łącznej kwocie 1 145 891,25 zł za zamontowanie urządzeń rejestrujących obraz na 2 salach oddziału neonatologii niezgodnie z obowiązującymi przepisami. Firma nie stosowała ponadto środków technicznych i organizacyjnych odpowiadających ryzyku dla danych przetwarzanych na kartach pamięci, które znajdowały się w urządzeniach monitorujących.
26 lipca 2023 roku Centrum Medyczne zgłosiło naruszenie ochrony danych osobowych, polegające na zagubieniu bądź kradzieży kart pamięci z 2 urządzeń monitoringu wizyjnego, które rejestrowały obraz w 2 salach Oddziału Neonatologii. “W zgłoszeniu naruszenia ochrony danych osobowych Administrator wskazał, że cyt. (…) „Kierownik (…) otrzymał informację od jednego z lekarzy, że wstawione urządzenia zostały przeniesione w inne miejsce na Oddziale i gdy je sprawdzono 24 lipca 2023 roku ok. godziny 8: 00 okazało się, że zostały z nich wyjęte karty pamięci, na które dokonywał się zapis z monitoringu (urządzenia nie dokonywały bieżącego zapisu danych na zewnętrznym serwerze, zapis dokonywał się jedynie na karcie pamięci, więc nie ma dostępu do kopii zapasowej nagrań)”. Jednocześnie Placówka poinformowała, że w wyniku przedmiotowego zdarzenia naruszeniu ochrony danych osobowych uległy dane osobowe 190 osób, w tym 30 pacjentów, 60 przedstawicieli ustawowych pacjentów, 97 osób z personelu oraz 3 studentów odbywających praktyki.”- wynika z treści decyzji UODO.
Już w 2023 r. w jednym z serwisów ukazał się artykuł, z którego wynikało, że dyrekcja zamontowała “w routerze oraz w zegarkach” ukryte kamery wyposażone w mikrofony. Prezes Urzędu Ochrony Danych Osobowych, w związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz ww. informacjami prasowymi przeprowadził postępowanie wyjaśniające. Organ ustalił, że “motywacją i celem wdrożenia monitoringu wizyjnego była troska o zdrowie i bezpieczeństwo noworodków, ze względu na wzmożoną liczbę objawów zakażenia układu pokarmowego”.
Wprowadzony przez Centrum Medyczne w okresie od 1 do 23 lipca 2023 roku na oddziale neonatologii monitoring swoim zakresem rejestrował obraz ukazujący zarówno noworodki, jak ich matki podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci czy ich pielęgnacja. Zgodnie z przekazanymi przez placówkę wyjaśnieniami dzieci, których wizerunek został utrwalony na nagraniach, nie wymagały już intensywnej terapii, a więc stan ich zdrowia nie był zagrożony. Po przeanalizowaniu podstaw prawnych Prezes UODO stwierdził, że wdrożony przez Centrum Medyczne monitoring wizyjny został wprowadzony niezgodnie z obowiązującymi przepisami, a ponadto miał charakter niejawny – o prowadzonej rejestracji obrazu nie zostali poinformowani ani pacjenci ani pracownicy placówki. Z decyzji UODO wynika, że “wdrożenie przedmiotowego monitoringu nie było w żaden sposób związane z zapewnieniem personelowi bezpieczeństwa, czy też ochrony mienia, gdyż zamontowanie urządzeń monitorujących umotywowane było cyt. (…) „wyłącznie przyczynami związanymi z koniecznością wyeliminowania i zapobiegania na przyszłość sytuacji dotyczącej większej niż zazwyczaj liczby objawów zakażeń noworodków” “.
W związku z opisanymi naruszeniami przepisów RODO, Prezes UODO nałożył na Centrum Medyczne karę w wysokości 687 534,75 zł. “W tym miejscu na szczególne podkreślenie zasługuje fakt, że wprowadzony przez Administratora monitoring wizyjny na 2 salach Oddziału (…) swoim zakresem rejestrował obraz ukazujący zarówno noworodków, jak ich matki, pozwalając na utrwalanie ich wizerunków także podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci czy ich pielęgnacja – co pozostaje w sprzeczności z obowiązkiem poszanowania intymności i godności pacjentów, o których mowa powyżej.” – podkreśla UODO.
Równolegle Centrum Medyczne zgłosiło Prezesowi UODO naruszenie polegające na zagubieniu lub kradzieży kart pamięci z urządzeń rejestrujących obraz na wskazanych powyżej 2 salach oddziału neonatologii. Po przeprowadzeniu czynności wyjaśniających ustalono, że karty pamięci, na których znajdowały się nagrania nie zostały zaszyfrowane, a wykorzystane do rejestracji obrazu urządzenia nie zostały skonfigurowane w sposób odpowiadający wymaganiom obowiązującym w placówce. Dodatkowo przekazana przez Centrum Medyczne analiza ryzyka nie obejmowała ryzyka będącego przyczyną wystąpienia incydentu oraz nie określała środków bezpieczeństwa, które mogłyby zapobiec jego wystąpieniu. Tym samym, Prezes UODO po stwierdzeniu naruszenia przepisów związanych z brakiem wdrożenia odpowiednich środków bezpieczeństwa nałożył na Centrum Medyczne karę w wysokości 458 356,50 zł.
O komentarz poprosiliśmy spółkę, ale do chwili publikacji materiału nie otrzymaliśmy wyjaśnień.
Pacjentkom z tytułu naruszenia przysługuje odszkodowanie z tytułu naruszenia praw pacjenta oraz zadośćuczynienie. Dowiedz się więcej.
Przeczytaj także: Monitoring w szpitalach narusza intymność pacjentów?
Źródło: UODO
