Administratorzy danych będący podmiotami wykonującymi działalność leczniczą mogą szukać podstaw do przetwarzania danych osobowych w co najmniej w kilku przesłankach. Jakich? O tym poniżej.
Podsumowanie
- Obowiązujące w Polsce przepisy dopuszczają możliwość stosowania monitoringu wizyjnego przez podmioty wykonujące działalność leczniczą.
- Zasady funkcjonowania monitoringu w pomieszczeniach ogólnodostępnych pozostawiono w gestii kierowników jednostek ochrony zdrowia.
- W pomieszczeniach, w których wykonuje się świadczenia medyczne monitoring jest dopuszczony tylko, jeżeli wynika to z odrębnych przepisów
W polskim systemie prawnym od lat sygnalizowany był brak ustawy regulującej użycie monitoringu wizyjnego – dotąd nie istnieje jego definicja, a prace nad projektowaną ustawą nigdy nie zostały ukończone. Dookreślenia pewnych kwestii związanych z monitoringiem doczekaliśmy się dopiero, kiedy w życie weszły przepisy RODO (m.in. w obszarze regulowanym Kodeksem pracy). Kolejne doprecyzowanie zasad stosowania monitoringu wizyjnego zostało wprowadzone tzw. ustawą sektorową, która dostosowuje krajowe akty prawne do wymogów RODO (Dz.U. 2019 poz. 730).
Przetwarzanie danych osobowych za pomocą monitoringu w gabinetach lekarskich
Przetwarzanie danych osobowych za pomocą monitoringu wizyjnego przez podmioty wykonujące działalność leczniczą (dalej: PWDL) zawsze budziło pewne kontrowersje. Problem pojawiał się szczególnie w przypadku instalacji kamer w gabinetach lekarskich, pomieszczeniach dla chorych, albo w miejscach, gdzie realizowane są świadczenia medyczne. Poniżej dwa przykłady nadmiernego wykorzystania monitoringu przez służbę zdrowia, gdzie finalnie administratorzy danych osobowych zostali zobowiązani do usunięcia kamer:
- wyrok WSA w Warszawie z 29.06.2015 r. (VII SA/Wa 787/15) – utrzymano decyzję Rzecznika Praw Pacjenta, który uznał stosowanie monitoringu wizyjnego m.in. w gabinetach lekarskich za zbiorowe naruszenie praw pacjentów do poszanowania intymności i godności,
- wyrok WSA w Warszawie z 06.12.2016 r. (VII SA/Wa 2109/16) – również utrzymano decyzję Rzecznika Praw Pacjenta, który uznał stosowanie monitoringu wizyjnego m.in. w gabinetach lekarskich i zabiegowych za zbiorowe naruszenie praw pacjentów do poszanowania intymności i godności, pomimo wyznaczenia tzw. boksów konsultacyjnych, które nie były objęte nadzorem kamer.
Powyższe orzeczenia dotyczyły sytuacji, w których przepisy aktów prawnych nie odnosiły się jeszcze wprost do kwestii przetwarzania danych osobowych. Podobne stanowisko można znaleźć w raportach Najwyższej Izby Kontroli: z roku 2018, który poświęcono ochronie intymności i godności pacjentów w szpitalach oraz z roku 2019, który poświęcono analizie stanu obecnego systemu ochrony zdrowia w Polsce.
Sprawdź Outsourcing funkcji inspektora ochrony danych osobowych (outsourcing IOD) Grant Thornton
Na co obecnie zezwalają przepisy dotyczące monitoringu wizyjnego?
Przywołana wyżej ustawa sektorowa wprowadziła nowe zapisy do ustawy z 15 kwietnia 2011 r. o działalności leczniczej (dalej: ustawa o działalności leczniczej). Został dodany art. 23a, o następującym brzmieniu:
1. Kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:
- ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń,
- w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych – za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring).
2. Nagrania obrazu uzyskane w wyniku monitoringu, o którym mowa w ust. 1 pkt 1, zawierające dane osobowe, podmiot wykonujący działalność leczniczą przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nie dłuższy niż 3 miesiące od dnia nagrania.
3. Po upływie okresu, o którym mowa w ust. 2, uzyskane w wyniku monitoringu nagrania obrazu zawierające dane osobowe podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.
Biorąc pod uwagę w/w przepisy oraz podstawę prawną wynikającą z RODO, można powiedzieć, że jednostki ochrony zdrowia korzystające z monitoringu wizyjnego w pomieszczeniach ogólnodostępnych, mając dookreślone w regulaminie organizacyjnym zasady użytkowania, mogą stosować monitoring wizyjny np. na podstawie swojego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). Art. 23a przywołanej ustawy potwierdza wyższość interesów administratora (PWDL) nad interesami podmiotów danych (czyli pacjentów), jeżeli stosowanie monitoringu jest niezbędne do zapewnienia bezpieczeństwa.
Monitoring w pomieszczeniach służących udzielaniu pomocy medycznej a RODO
W przypadku pomieszczeń, w których udzielana jest pomoc medyczna, sal przeznaczonych dla chorych pacjentów, pomieszczeń higieniczno-sanitarnych, przebieralni, czy też szatni, stosowanie monitoringu wizyjnego jest dozwolone jedynie wtedy, kiedy wynika to z przepisów odrębnych. Takie dookreślenia znajdują się w:
1. Rozporządzeniu Ministra Zdrowia w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą z dnia 26 marca 2019 r.; chodzi o zapisy odnoszące się do zastosowania monitoringu wizyjnego:
- w pokojach łóżkowych jeżeli jest to konieczne w procesie leczenia i dla zapewnienia bezpieczeństwa (dot. ogólnie PWDL),
- w pomieszczeniach zespołu porodowego szpitala, tj. w pomieszczeniu przeznaczonym dla położnic i noworodka w pierwszych godzinach życia,
- w pomieszczeniach łóżkowych oddziału dziecięcego szpitala,
- w separatce części obserwacyjno-diagnostycznej oddziału psychiatrycznego szpitala,
- w pomieszczeniach stacji dializ.
2. Rozporządzeniu Ministra Sprawiedliwości w sprawie szczegółowych wymaga, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu leczniczego dla osób pozbawionych wolności z dnia 5 lipca 2012 r.
Praktyczne aspekty stosowania monitoringu w jednostkach medycznych
W uzasadnieniu do projektu ustawy sektorowej, zapisy art. 23a ustawy o działalności leczniczej miały na celu uregulowanie zasad stosowania monitoringu wizyjnego w pomieszczeniach PWDL. Dookreślenie metod funkcjonowania monitoringu w pomieszczeniach ogólnodostępnych pozostawiono w zasadzie w gestii kierowników jednostek ochrony zdrowia. Natomiast w przypadkach pomieszczeń, w których wykonuje się świadczenia medyczne monitoring jest dopuszczony tylko, jeżeli wynika to z odrębnych przepisów. Zapisy przywołanego wyżej rozporządzenia nie narzucają konieczności stosowania monitoringu, lecz dopuszczają taką możliwość. Zatem, o ile nie jest to zabronione, źródeł takiego przetwarzania należy szukać w:
- prawnie uzasadnionym interesie administratorów danych,
- niezbędności przetwarzania do ochrony żywotnych interesów podmiotu danych,
- niezbędności przetwarzania do wykonania zadania realizowanego w interesie publicznym,
- czy też dla celów zapewnienia szeroko pojętej opieki zdrowotnej.
Administratorzy danych będący PWDL stosując monitoring wizyjny w praktyce muszą także brać pod uwagę zapisy Kodeksu pracy, które obok ww. art. 23a ustawy o działalności medycznej regulują objęcie monitoringiem wizyjnym pracowników danej jednostki leczniczej. Należy o tym pamiętać zarówno przy formułowaniu procesów w ramach rejestru czynności przetwarzania, ocenie ryzyka, czy też w trakcie opracowania klauzul informacyjnych. Sporym ułatwieniem dla instytucji ochrony zdrowia jest sformułowanie wprost okresów przechowania nagrań z monitoringu.
