Decyzja

DKN.5131.4.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w związku z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. i), art. 83 ust. 1 – 3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także art. 83 ust. 5 lit. a) i b) w związku z art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2, art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez X. z siedzibą w K. (K., (…)), Prezes Urzędu Ochrony Danych Osobowych,

1) stwierdzając naruszenie przez X. z siedzibą w K. (K., ul. (…)) przepisów:
a) art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia 2016/679, polegające na niezgodnym z prawem przetwarzaniu danych osobowych, w tym danych szczególnej kategorii poprzez zastosowanie monitoringu wizyjnego na dwóch salach szpitalnych Oddziału (…),
b) art. 13 ust. 1 i 2 rozporządzenia 2016/679, polegającego na niespełnieniu obowiązku informacyjnego wobec osób, których dane osobowe objęte były przetwarzaniem, na skutek wprowadzonego monitoringu wizyjnego na dwóch salach szpitalnych Oddziału (…),

co skutkowało naruszeniem art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (zasady zgodności z prawem, rzetelności i przejrzystości) oraz art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności),

nakłada na X. z siedzibą w K. (K., ul. (…)) administracyjną karę pieniężną w kwocie 687 534,75 zł (słownie: sześćset osiemdziesiąt siedem tysięcy pięćset trzydzieści cztery złote i 75/100),

2) stwierdzając naruszenie przez X. z siedzibą w K. przepisów: art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym,

co skutkowało naruszeniem art. 5 ust. 1 lit. f) rozporządzenia 2016/679 (zasady integralności i poufności) oraz art. 5 ust. 2 rozporządzenia 2016/679 (zasady rozliczalności)

nakłada na X. z siedzibą w K. (K., ul. (…)) za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 administracyjną karę pieniężną w kwocie 458 356,50 zł (słownie: czterysta pięćdziesiąt osiem tysięcy trzysta pięćdziesiąt sześć złotych i 50/100).

Uzasadnienie

X. z siedzibą w K. (K., ul. (…)) zwane dalej również Administratorem, Placówką lub Centrum Medycznym jest podmiotem, którego podstawowy charakter działalności gospodarczej skoncentrowany jest na udzielaniu świadczeń i usług medycznych, w szczególności w zakresie (…). Podkreślenia wymaga również fakt, że Placówka wchodzi w skład (…), która zarządza siecią specjalistycznych szpitali neonatologicznych i położniczo-ginekologicznych zlokalizowanych w (…) Polsce (woj.(…)), a także ośrodkami medycznymi, oferującymi dostęp do profesjonalnej i kompleksowej opieki medycznej.

26 lipca 2023 roku Centrum Medyczne zgłosiło naruszenie ochrony danych osobowych, polegające na zagubieniu bądź kradzieży kart pamięci z 2 urządzeń monitoringu wizyjnego, które rejestrowały obraz w 2 salach Oddziału (…). Zgodnie z deklaracją Administratora wskazaną w uzupełnieniu zgłoszenia naruszenia ochrony danych osobowych, w związku z wystąpieniem przedmiotowego incydentu, złożył on zawiadomienie o podejrzeniu popełnienia przestępstwa do Prokuratury (…).

Jednocześnie, 3 sierpnia 2023 roku na portalu internetowym (…)[1] opublikowany został artykuł dotyczący praktyk Centrum Medycznego w związku ze stosowanym przez ten podmiot systemem monitoringu. Z treści ww. artykułu wynika, że dziennikarze serwisu, w ramach przekazanych od pracownika ww. placówki informacji ustalili, że cyt. »(…) na oddziale (…), na którym pracuję, dyrekcja zamontowała "w routerze oraz w zegarkach" ukryte kamery. Miały mikrofon, co jest zabronione. O ich instalacji nie byliśmy w żaden sposób poinformowani«. Ponadto, cyt. »Na kamerach zostały zarejestrowane nasze prywatne rozmowy oraz z pewnością wizerunki pacjentów - noworodków i wcześniaków, o czym ich rodzice nie mają pojęcia. (…) urządzenia "zostały skonfigurowane tak, aby nie nagrywać dźwięku" (zdaniem informatorki nagrywały zarówno obraz, jak i dźwięk)«.

Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO” lub „organem nadzorczym”), w związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz ww. informacjami prasowymi przeprowadził postępowanie wyjaśniające, a następnie 28 lutego 2024 roku wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez X. z siedzibą w K., jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2, art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, w związku z wprowadzeniem monitoringu wizyjnego na 2 salach Oddziału (…) bez podstawy prawnej oraz zagubieniem bądź kradzieżą kart pamięci, na których utrwalany był zapis z ww. monitoringu wizyjnego (sygn. DKN.5131.4.2024.(…)).

Prezes UODO, w wyniku przeprowadzonego postępowania wyjaśniającego oraz postępowania administracyjnego ustalił następujący stan faktyczny.

I. Monitoring wizyjny na Oddziale (…).
Prezes UODO zwrócił się pismami 7 sierpnia 2023 roku, 31 stycznia oraz 28 lutego 2024 roku do Administratora o złożenie wyjaśnień dot. wdrożenia monitoringu wizyjnego na 2 salach Oddziału (…).

Z wyjaśnień udzielonych przez Placówkę korespondencją 17 sierpnia 2023 roku, 12 lutego, 11 marca oraz 30 sierpnia 2024 roku wynika, że:
1) Placówka objęta jest monitoringiem wizyjnym (bez rejestracji dźwięku) obejmującym obszar budynku zlokalizowanego przy ul. (…) w K. (pomieszczenia ogólnodostępne oraz kluczowe pomieszczenia, w tym sale Oddziału (…), zgodnie z obowiązującymi przepisami) oraz obszar wokół tego budynku,

2) Administrator, jako podstawę prawną upoważniającą go do pozyskania danych osobowych na skutek wprowadzonego doraźnego monitoringu wizyjnego na ww. salach Oddziału (…), wskazał:
- art. 23a ust. 1 pkt 2 ustawy z dnia 15 kwietnia 2011 roku o działalności leczniczej (Dz. U. z 2024 r. poz. 799) w związku z § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 roku w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą (Dz. U. z 2022 r. poz. 402),
- art. 6 ust. 1 lit. f) rozporządzenia 2016/679 ze względu na prawnie uzasadniony interes,
- art. 22²ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2023 r. poz. 1465 ze zm.) w celu zapewnienia bezpieczeństwa pracowników i ochrony mienia, a także zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę,

3) monitoring wizyjny na salach Oddziału (…) prowadzony był w okresie od 1 do 23 lipca 2023 r., a do realizacji ww. działań Administrator zastosował zegary z funkcją rejestracji obrazu (tj. kamera zamontowana w zegarze umożliwiająca nagrywanie obrazu),

4) motywacją i celem wdrożenia monitoringu wizyjnego była troska o zdrowie i bezpieczeństwo noworodków, ze względu na wzmożoną liczbę objawów zakażenia układu pokarmowego,

5) dane osobowe pozyskane poprzez zastosowany monitoring wizyjny cyt. (…) „miały być przechowywane przez okres nie dłuższy niż 30 dni od dnia nagrania”,

6) Administrator pismem z 12 lutego 2024 roku (data nadania: 13 lutego 2024 roku, data wpływu: 19 lutego 2024 roku) wskazał, że przed wdrożeniem doraźnego monitoringu (tj. 2 dodatkowych urządzeń monitorujących zamontowanych w 2 salach Oddziału (…)) nie została przeprowadzona analiza potwierdzająca konieczność wprowadzenia ww. rozwiązania. Ponadto, podkreślił, że w okresie poprzedzającym zastosowanie dodatkowych urządzeń monitorujących Placówka podjęła czynności mające na celu wyeliminowanie występowania zakażeń noworodków poprzez: wzmożone sprzątanie pomieszczeń, fumigacje, wymianę urządzeń sanitarno-higienicznych, wzmożony reżim sanitarny, przeprowadzenie szkoleń dla rodziców noworodków dotyczących procedur mycia i higieny rąk. Administrator poinformował również, że cyt. (…) „Zmiany Regulaminu (…) dotyczące monitoringu wizyjnego zostały wprowadzone uchwałą Zarządu (…).

7) Administrator pismem z 11 marca 2024 roku przekazał organowi nadzorczemu dowody potwierdzające wdrożenie (przed wprowadzeniem dodatkowego monitoringu wizyjnego) środków bezpieczeństwa mających na celu wykrycie nieprawidłowych i niezamierzonych zachowań powodujących zakażenia noworodków na Oddziale (…) w postaci pism Zespołu (…) z 21 marca, 9 maja i 7 czerwca 2023 roku, analizy (…) oraz raportu (…).

8) Placówka wskazała, że spełniła obowiązek informacyjny względem osób przebywających na terenie podmiotu medycznego poprzez cyt. (…) „naklejki znajdujące się na budynku Szpitala w miejscach stosowanego monitoringu, zawierające rzeczone informacje oraz odsyłające do treści klauzuli informacyjnej dotyczącej stosowania monitoringu wizyjnego, poprzez kod QR przekierowujący do strony internetowej z przedmiotową klauzulą”,

9) w odniesieniu do pracowników niniejszej placówki medycznej, Administrator zaznaczył, że każda nowozatrudniona osoba jest informowana o stosowanym monitoringu wizyjnym,

10) pracownicy Administratora zostali poinformowani (informacja przekazana e-mailowo) o podjęciu 16 czerwca 2021 roku uchwały przez zarząd X. w sprawie wprowadzenia zmian w Regulaminie (…) dotyczących wprowadzenia w trybie art. 22² Kodeksu Pracy monitoringu wizyjnego na terenie zakładu pracy od 1 lipca 2021 roku,

11) Administrator do pisma z 17 sierpnia 2023 roku załączył przykładowe zdjęcia z umieszczonymi w szpitalu naklejkami informującymi o stosowaniu monitoringu wizyjnego na jego terenie, treść klauzuli informacyjnej dotyczącej stosowania monitoringu wizyjnego w szpitalu, wydruk maila informującego wszystkich pracowników o wprowadzeniu zmian w Regulaminie (…) oraz treść uchwały zmieniającej Regulamin (…) wraz z treścią klauzuli informacyjnej dotyczącej monitoringu na terenie zakładu pracy.

12) Administrator pismem z 12 lutego 2024 roku (data nadania: 13 lutego 2024 roku, data wpływu: 19 lutego 2024 roku) wskazał, że dostęp do pełnej treści klauzuli informacyjnej dotyczącej stosowanego w placówce monitoringu wizyjnego możliwy jest (oprócz kodu QR) w recepcji (możliwość uzyskania klauzuli w formie wydruku). Ponadto, pełna treść niniejszej klauzuli informacyjnej dostępna jest na stronie internetowej Centrum Medycznego.

13) Centrum Medyczne w piśmie z 24 października 2023 roku wskazało, że zgodnie z pkt 4 klauzuli informacyjnej, monitoringiem wizyjnym objęte są kluczowe pomieszczenia, którymi w analizowanym przypadku są sale Oddziału (…). Jednocześnie podkreślenia wymaga, że w analizowanej klauzuli informacyjnej nie została ujęta definicja, precyzująca i wyjaśniająca określenie „kluczowe pomieszczenia”.

14) Administrator w piśmie z 11 marca 2024 roku (data wpływu: 14 marca 2024 roku, data nadania: 11 marca 2024 roku) poinformował, że załącznik nr (…) do Regulaminu (…) obejmującego wykaz budynków i pomieszczeń objętych monitoringiem wizyjnym nie został zaktualizowany przed wdrożeniem dodatkowego monitoringu na 2 salach (…).

15) W związku z przeprowadzonym 28 sierpnia 2024 roku przeglądem akt, Centrum Medyczne pismem z 30 sierpnia 2024 roku przekazało organowi nadzorczemu dokument pt.: „Ostateczne stanowisko strony w sprawie”, w którym poinformowało, że na 2 salach Oddziału (…), na których zamontowany został doraźny monitoring wizyjny znajdowały się cyt.: „dzieci, które zostały przeniesione z 1 i 2 odcinka i nie wymagają już intensywnej terapii. Dzieci przebywające na tych salach są objęte rehabilitacją, nauką karmienia i pielęgnacji przez ich rodziców”.

II. Utrata kart pamięci z monitoringu wizyjnego na Oddziale (…).
Administrator 26 lipca 2023 roku dokonał wstępnego zgłoszenia naruszenia ochrony danych osobowych (zgłoszenie uzupełniające przekazano 15 września 2023 roku), polegającego na zagubieniu bądź kradzieży kart pamięci z 2 urządzeń monitoringu wizyjnego, które rejestrowały obraz w 2 salach Oddziału (…) (zgłoszenie zarejestrowane pod sygnaturą (…)). W zgłoszeniu naruszenia ochrony danych osobowych Administrator wskazał, że cyt. (…) „Kierownik (…) otrzymał informację od jednego z lekarzy, że wstawione urządzenia zostały przeniesione w inne miejsce na Oddziale i gdy je sprawdzono 24 lipca 2023 roku ok. godziny 8: 00 okazało się, że zostały z nich wyjęte karty pamięci, na które dokonywał się zapis z monitoringu (urządzenia nie dokonywały bieżącego zapisu danych na zewnętrznym serwerze, zapis dokonywał się jedynie na karcie pamięci, więc nie ma dostępu do kopii zapasowej nagrań)”. Jednocześnie Placówka poinformowała, że w wyniku przedmiotowego zdarzenia naruszeniu ochrony danych osobowych uległy dane osobowe 190 osób, w tym 30 pacjentów, 60 przedstawicieli ustawowych pacjentów, 97 osób z personelu oraz 3 studentów odbywających praktyki.

Z wyjaśnień udzielonych przez Administratora pismami z 5 i 24 października 2023 roku oraz 12 lutego 2024 roku wynika, że:

1) Administrator posiada wdrożoną Politykę (…) oraz powiązaną z nią procedurę Zabezpieczenia (…), które to dokumenty są częścią obowiązującego Systemu (…),

2) Centrum Medyczne posiada certyfikat systemu zarządzania zaświadczający, że wprowadziło i stosuje System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami PN-EN ISO/IEC 27001:2017-06, przechodząc coroczne audyty (ostatni z października 2022 roku) (dokumenty przedłożone w piśmie z 5 października 2023 roku).

3) zgodnie z deklaracją Administratora monitorowanie przestrzegania procedur realizowane jest na bieżąco poprzez weryfikację kompletności dokumentacji pracowniczej, udostępnienie treści procedury przez dotychczasowych oraz nowych pracowników (w celu zapoznania się z obowiązującymi zasadami), weryfikację naklejek z informacją o monitoringu wizyjnym na terenie placówki medycznej, weryfikację w zakresie dostępności przetwarzanych informacji oraz działania poszczególnych kamer i rejestratorów w sposób ciągły i automatyczny przez system informatyczny.

4) Administrator zorganizował i przeprowadził kilka spotkań z personelem Oddziału. Personel Oddziału był informowany o tym, że w przypadku wejścia w posiadanie kart pamięci lub informacji na temat przedmiotowego zdarzenia, należy je niezwłocznie przekazać kierownictwu Szpitala. Ponadto, zgłoszono zawiadomienie o podejrzeniu popełnienia przestępstwa, na podstawie którego wszczęto dochodzenie przez VIII Komisariat Policji (…), sygn. akt (…).

5) Administrator w uzupełniającym formularzu zgłoszenia poinformował, że 15 września 2023 roku zakończył proces zawiadamiania podmiotów danych o wystąpieniu przedmiotowego naruszenia ochrony danych osobowych, tj. utracenia kart pamięci z prowadzonego monitoringu wizyjnego na salach (…).

6) do wyjaśnień udzielonych w piśmie z 5 października 2023 roku Centrum Medyczne przedłożyło organowi nadzorczemu wykaz sposobu zawiadomienia poszczególnych podmiotów, Politykę (…), Procedurę (…), Wewnętrzną notatkę dot. pracowników działu IT, wewnętrzną notatkę dot. audytów w Szpitalu, analizę (…) oraz wewnętrzną notatkę dotyczącą przeprowadzonych spotkań z personelem Oddziału.

7) Administrator w piśmie z 24 października 2023 roku ustosunkował się do zapytań organu nadzorczego ujętych w piśmie z 11 października 2023 informując, że karty pamięci z dodatkowych urządzeń monitorujących nie zostały poddane szyfrowaniu.

8) Administrator do korespondencji z 24 października 2023 roku załączył opis sposobu dokonywania przez Administratora (w tym przed wystąpieniem naruszenia ochrony danych osobowych) regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w ramach monitoringu wizyjnego) i zrzuty ekranu oprogramowania. Przedmiotowy dokument (data sporządzenia: 20 października 2023 roku) swoim zakresem obejmował techniczne i organizacyjne wytyczne, które prowadzony w ww. placówce monitoring wizyjny ma spełnić. Ponadto, zgodnie z notatką wewnętrzną z 4 października 2023 roku (przekazaną organowi nadzorczemu w piśmie z 5 października 2023 roku) Placówka corocznie przeprowadza wewnętrzne audyty obejmujące m.in. kwestie przestrzegania procedur w zakresie stosowanego monitoringu wizyjnego (kartę (…) oraz protokół (…) wraz załącznikiem przekazano w piśmie z 11 marca 2024 roku).

9) Administrator pismem z 12 lutego 2024 roku (data wpływu: 19 lutego 2024 roku, data nadania: 13 lutego 2024 roku) wskazał, że 2 dodatkowe urządzenia monitorujące zamontowane w salach Oddziału (…) nie spełniały wymogów ustalonych i określonych w dokumencie pn. „Opis (…)” oraz nie były skonfigurowane z oprogramowaniem (…) (system zapewniający kontrolę dostępu do sieci), (…) (oprogramowanie monitorujące szereg parametrów sieci, jak również działania i integralności serwerów), czy (…) (system zarządzania podatnościami). Ww. urządzenia nie były również cyt. (…) „zainstalowane do wewnętrznej sieci komputerowej, zapis danych był dokonywany do znajdujących się w nich kart pamięci”. Centrum Medyczne jednocześnie poinformowało, że za wdrożenie dodatkowych urządzeń monitorujących na przedmiotowych salach Oddziału (…) odpowiedzialny był personel Oddziału oraz dział (…), a ich wdrożenie nie odbyło się na podstawie harmonogramu, a także nie został sporządzony protokół ich montażu.

10) dochodzenie prowadzone przez (….) sygn. akt (…) zostało umorzone postanowieniem z (…), wobec niewykrycia sprawcy czynu.

11) Administrator w piśmie z 11 marca 2024 roku (data wpływu: 14 marca 2024 roku, data nadania: 11 marca 2024 roku) ustosunkował się do zapytań organu nadzorczego ujętych w piśmie z 28 lutego 2024 roku informując, że przed wystąpieniem naruszenia ochrony danych osobowych przeprowadził analizę (…). Ponadto, wskazał, że dokument w postaci „Polityki (…)” został zmieniony uchwałą Zarządu (…), która weszła w życie z (…), natomiast „Polityka (…)” nie została poddana aktualizacji od 30 kwietnia 2021 roku.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

W myśl art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej: ustawą z dnia 10 maja 2018 r., Prezes UODO jest organem właściwym w sprawie ochrony danych i organem nadzorczym w rozumieniu rozporządzenia 2016/679. Stosownie do art. 57 ust. 1 lit. a) i h) rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz prowadzi postępowania w sprawie naruszenia niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego.

I. Podstawa prawna przetwarzania danych osobowych.
Art. 5 rozporządzenia 2016/679 określa zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. W myśl art. 5 ust. 1 lit. a) rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”). Przestrzeganie ww. zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Należy zaznaczyć, że przepis art. 6 ust. 1 lit. f) rozporządzenia 2016/679 nie ma zastosowania do przetwarzania danych osobowych przez organy publiczne w ramach realizacji swoich zadań.

Art. 9 ust.1 rozporządzenia 2016/679 zabrania przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Motyw 35 rozporządzenia 2016/679 uszczegóławia pojęcie danych osobowych dotyczących zdrowia wskazując, że „Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą”.

W niniejszej sprawie w pierwszej kolejności należy dokonać analizy wskazanych przez Administratora podstaw prawnych upoważniających go do wprowadzenia dodatkowego monitoringu wizyjnego na 2 salach Oddziału (…). Zgodnie z informacjami przekazanymi w piśmie z 17 sierpnia 2023 roku, normą prawną uzasadniającą wdrożenie ww. monitoringu jest art. 23a ust. 1 pkt 2 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2024 r. poz. 799) w związku z § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 roku w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą (Dz. U. z 2022 r. poz. 402).

Art. 23a ust. 1 pkt 2 powołanej wyżej ustawy (w brzmieniu obowiązującym w czasie wystąpienia opisanych w niniejszej decyzji naruszeń rozporządzenia 2016/679) wskazuje, że kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń, w których są udzielane świadczenia zdrowotne oraz pobyt pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych – za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring). Zgodnie ze stanowiskiem Administratora odrębnymi przepisami upoważniającymi go do wprowadzenia doraźnego monitoringu wizyjnego na 2 salach Oddziału (…) na mocy art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej są normy prawne ujęte w § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą. Stosownie do ww. przepisu, w pokojach łóżkowych dopuszcza się instalację urządzeń umożliwiających obserwację pacjentów, jeżeli jest to konieczne w procesie ich leczenia i dla zapewnienia im bezpieczeństwa. Kluczowym elementem w tym przepisie jest wybrzmienie elementu konieczności wprowadzenia monitoringu, jako obligatoryjnego warunku.

A zatem, zgodnie z przyjętymi założeniami, Administrator powinien dysponować dowodami, np. stosownymi analizami, które jednoznacznie wskazywałyby, że tylko wprowadzenie doraźnego monitoringu wizyjnego na 2 salach Oddziału (…) przyczyniłoby się do ograniczenia ilości zachorowań pacjentów oraz efektywnego procesu ich leczenia. Podkreślić bowiem należy, że jedynie stosowne uargumentowanie podparte adekwatnymi dowodami spełniłoby warunek legalności dla wprowadzenia rejestracji obrazu zgodnie z powołanym powyżej przepisem. W tym miejscu należy zaznaczyć, że Administrator nie dysponował ani dowodami, z których wynikałoby, że zastosowanie monitoringu wizyjnego jest konieczne w procesie leczenia pacjentów (np. dla spowodowania spadku ich zachorowań) ani konieczne dla zapewnienia ich bezpieczeństwa, co potwierdził w piśmie z 12 lutego 2024 roku cyt. „(…) Administrator nie przeprowadzał analizy potwierdzającej konieczność wprowadzenia doraźnego monitoringu na salach łóżkowych Oddziału”. Jednocześnie w prowadzonej korespondencji Administrator poinformował, że podejmował działania mające na celu wykrycie nieprawidłowych i niezamierzonych zachowań powodujących zakażenia noworodków na Oddziale, jednakże powyższe nie zwalniało Placówki z obowiązku udowodnienia bezwzględnej potrzeby wdrożenia doraźnego monitoringu wizyjnego na ww. obszarze. Co więcej, w oparciu o przekazany przez Administratora Raport (…) brak jest możliwości wyodrębnienia, jakie czynniki realnie wpłynęły na zmniejszoną liczbę zakażeń pacjentów (z 25 na 18) – w szczególności biorąc pod uwagę wzmożone zastosowanie farmakologii na przedmiotowym oddziale, o czym mowa w Analizie (…), cyt.: (…), a także zagubienie lub kradzież kart pamięci z dodatkowych urządzeń monitorujących oraz brak dostępu do zarejestrowanego obrazu.

Oprócz jednoznacznego udowodnienia konieczności wdrożenia monitoringu wizyjnego, placówki lecznicze zobligowane są także do wprowadzenia stosownych zmian w regulaminie organizacyjnym cyt. (…) „zgodnie z art. 23a u.d.l. zasady stosowania monitoringu powinny zostać określone w treści regulaminu organizacyjnego, tym samym niezbędne będzie dokonanie jego zmiany, jeśli placówka będzie rozszerzać posiadany monitoring”[2]. Podobnie wypowiedział się także Rzecznik Praw Pacjenta w wydanym przewodniku dla kierowników placówek medycznych pt. „Monitoring wizyjny w podmiotach leczniczych”[3] informując, że cyt. (…) „Kierownik podmiotu leczniczego, w momencie wdrożenia w podmiocie leczniczym monitoringu wizyjnego, ma obowiązek wprowadzenia do regulaminu organizacyjnego sposobu jego prowadzenia. Zobowiązanie nałożone przez ustawodawcę na kierownika podmiotu uwypukla potrzebę ochrony praw osób fizycznych – pacjentów i pracowników podmiotu leczniczego – przed nieuzasadnionym wykorzystaniem danych zgromadzonych w wyniku stosowania monitoringu wizyjnego. W tej perspektywie decyzja o wprowadzeniu monitoringu należy do kierownika podmiotu leczniczego, który, w oparciu o analizę zdarzeń niepożądanych, ma wiedzę adekwatną do oceny, czy monitoring wizyjny będzie wsparciem pracy personelu w zapewnieniu pacjentom bezpieczeństwa”.

Administrator zapytany przez Prezesa UODO w piśmie z 31 stycznia 2024 roku o to, czy wprowadził stosowne zmiany w regulaminie organizacyjnym (w związku z wprowadzeniem dodatkowych urządzeń monitorujących) niezgodnie z rzeczywistością wskazał, że cyt. (…) „Zmiany Regulaminu (…) dotyczące monitoringu wizyjnego zostały wprowadzone uchwałą Zarządu (…)”. Nie stanowiło to spełnienia przez Centrum Medyczne powyższego obowiązku ze względu na fakt, że doraźny monitoring wizyjny na 2 salach Oddziału (…) funkcjonował w okresie od 1 lipca do 23 lipca 2023 roku, a więc nie mogła go uwzględnić przywołana przez Administratora uchwała Zarządu (…). W konsekwencji powyższego Placówka nie spełniła w tym zakresie wymogów związanych z wprowadzaniem dodatkowego monitoringu.

Potwierdzeniem bierności Administratora w związku z analizowanym monitoringiem wizyjnym jest również fakt, że nie dokonał on aktualizacji załącznika nr (…) do Regulaminu (…) Placówki zmienionego uchwałą Zarządu (…), nie wykazując tym samym nowych obszarów objętych monitoringiem wizyjnym. Jednocześnie zaznaczenia wymaga, że zgodnie z rozdziałem (…) Załącznika nr 1 do Uchwały Zarządu (…) spółki X. z (…) cyt. (…) „(…)”. Administrator w prowadzonej korespondencji z organem nadzorczym, w piśmie z dnia 11 marca 2024 roku bezpośrednio przyznał się do nieprawidłowości w ww. zakresie deklarując, że cyt. (…) „Załącznik nr (…) do Regulaminu (…) Szpitala, tj. wykaz budynków i pomieszczeń objętych monitoringiem wizyjnym nie był aktualizowany przed wdrożeniem dodatkowego monitoringu w Oddziale Szpitala”.

Wobec powyższego, z uwagi na wykazane nieprawidłowości we wprowadzeniu doraźnego monitoringu wizyjnego na 2 salach Oddziału (…) Centrum Medyczne nie może posłużyć się art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej, jako podstawą prawną swojego działania, gdyż nie zostały spełnione obligatoryjne warunki do uznania przedmiotowego monitoringu za legalny (tj. brak wprowadzenia adekwatnych regulacji w regulaminie organizacyjnym oraz niewykazanie konieczności wdrożenia monitoringu wizyjnego).

Jednocześnie należy także pokreślić, że analiza przepisów ustawy o działalności leczniczej (w brzmieniu obowiązującym w czasie wystąpienia opisanych w niniejszej decyzji naruszeń rozporządzenia 2016/679), a także przepisów innych aktów prawnych odnoszących się do tej materii, jednoznacznie wskazuje na istnienie po stronie placówek medycznych obowiązku poszanowania intymności i godności pacjenta w związku ze świadczeniem usług medycznych, a którego to obowiązku nie dochował Administrator wobec swoich pacjentów poprzez zamontowanie doraźnego monitoringu wizyjnego. W konsekwencji, pomimo tego, że obowiązek w tym zakresie w przepisach ustawy o działalności leczniczej wprost został sformułowany dopiero na skutek jej nowelizacji, która weszła w życie w dniu 6 września 2023 r., to nie można uznać, że wcześniej (a więc także w czasie funkcjonowania doraźnego monitoringu wizyjnego w ww. salach) Centrum Medyczne było zwolnione z ich uwzględniania przy realizacji świadczeń (o czym będzie mowa w dalszej części niniejszej decyzji).

W niniejszej materii wypowiedział się również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 13 września 2019 r., sygn. akt VII SA/Wa 1545/19, LEX nr 2728947, w którym to jedną ze stron postępowania administracyjnego był Rzecznik Praw Pacjentów, cyt. „Sąd w składzie rozpoznającym niniejszą sprawę, w pełni podziela stanowisko organu, znajdujące swoje oparcie w doktrynie, że intymność pacjenta, czyli bliskość, odnosić należy do wszelkich uczuć i działań związanych z udzielaniem świadczeń opieki zdrowotnej. Na tak pojmowaną intymność składa się: dbanie o dobro pacjenta, szacunek dla pacjenta, zrozumienie jego sytuacji, wymiana intymnych informacji, uważanie pacjenta za podmiot o najwyższej wartości. Intymność odnosi się zarówno do samej osoby pacjenta - do sfery jego życia wyłącznie osobistego, poufnego, jak i do relacji z innymi osobami, opartych na serdeczności i zażyłości. Naruszenie intymności pozostaje w związku z poczuciem wstydu. Strefa intymności jednostki ludzkiej powinna być poddana szczególnej ochronie, w myśl której tylko dana jednostka może rozporządzać tą wrażliwą sferą uczuć”.

Mając na celu szczegółową analizę prawną w zakresie wprowadzenia doraźnego monitoringu wizyjnego przez Centrum Medyczne należy odnieść się do Załącznika nr 1 IV pt. „Zespół porodowy” pkt 4 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą, który bezpośrednio odnosi się do możliwości zastosowania monitoringu wizyjnego w pomieszczeniach przeznaczonych dla położnic i noworodków. Zgodnie z tym przepisem, w zespole porodowym powinno znajdować się co najmniej jedno pomieszczenie przeznaczone dla położnic i noworodka w pierwszych godzinach życia, po porodach powikłanych, w którym zapewnia się możliwość obserwacji bezpośredniej lub przy użyciu kamer wyposażonych w funkcje autostartu, w szczególności możliwość obserwacji twarzy. Przepis ten może stanowić podstawę prawną zastosowania takiej formy obserwacji wyłącznie w sytuacji, kiedy stan zdrowia noworodków, w związku z powikłaniami porodowymi, nie jest stabilny i może zagrażać ich życiu lub zdrowiu. W przypadku wdrożenia monitoringu wizyjnego przez Administratora na 2 salach Oddziału (…) (w okresie od 1 lipca do 23 lipca 2023 roku) niniejsza podstawa prawna nie może znaleźć zastosowania, gdyż zgodnie z „Ostatecznym stanowiskiem strony w sprawie” przekazanym w piśmie z 30 sierpnia 2024 roku w pomieszczeniach, w których zamontowany został doraźny monitoring wizyjny znajdowały się cyt.: „dzieci, które zostały przeniesione z 1 i 2 odcinka i nie wymagają już intensywnej terapii. Dzieci przebywające na tych salach są objęte rehabilitacją, nauką karmienia i pielęgnacji przez ich rodziców” –tym samym potwierdzając, że wdrożenie monitoringu nie miało na celu obserwacji noworodków, których życie lub zdrowie było zagrożone.

Administrator pismem z 17 sierpnia 2023 roku wskazał także, że podstawą prawną uzasadniającą wdrożenie doraźnego monitoringu wizyjnego na 2 salach Oddziału (…), oprócz art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej jest również art. 6 ust. 1 lit. f) rozporządzenia 2016/679 oraz art. 22²ustawy Kodeks pracy.

Jak wskazano wyżej, w przypadku placówek medycznych zasady wprowadzania monitoringu wizyjnego (i przetwarzania danych osobowych z tym związanych) regulują przepisy ustawy o działalności leczniczej. Administrator, który nie spełnia zasad jego wprowadzenia wynikających z tych przepisów (jak ma to miejsce w przypadku Centrum Medycznego) dla uzasadnienia jego zastosowania nie może powoływać się na inne przesłanki przetwarzania danych osobowych, w tym przesłankę określoną w art. 6 ust. 1 lit. f) rozporządzenia 2016/679. Na marginesie należałoby jeszcze zauważyć, że w związku ze stosowanym monitoringiem wizyjnym w 2 salach Oddziału (…) przetwarzane były również dane o stanie zdrowia, a te mogą być przetwarzane wyłącznie po spełnieniu jednej z przesłanek z art. 9 ust. 2 rozporządzenia 2016/679. Z oczywistych względów za taką przesłankę przetwarzania tych danych nie może zostać zatem uznana ta, o której mowa w art. 6 ust. 1 lit. f) rozporządzenia 2016/679.

Należy w tym miejscu wskazać, że przepisy rozporządzenia 2016/679 ustanowiły podstawowe zasady przetwarzania danych osobowych, w tym zasadę zgodności z prawem, sformułowaną w art. 5 ust. 1 lit. a) rozporządzenia 2016/679. Zasada zgodności z prawem, „określana również mianem legalności przetwarzania danych, oznacza wymóg przestrzegania norm ustanowionych w przepisach prawa. Zasada zgodności przetwarzania danych z prawem ma szeroki zakres przedmiotowy, nie chodzi tu tylko o przepisy komentowanego rozporządzenia, ale także o przepisy zawarte w innych aktach normatywnych. (…) Wśród przepisów dotyczących przetwarzania danych szczególną rolę pełnią wymogi odnoszące się do zgodności przetwarzania z prawem (określane także, jako tzw. podstawy dopuszczalności przetwarzania danych lub przesłanki legalności przetwarzania danych), określone w przepisach art. 6, 9 i 10 komentowanego rozporządzenia. Przepisy te wskazują przypadki, gdy przetwarzanie danych jest prawnie dopuszczalne (ujmując to najprościej:, kiedy można zgodnie z prawem przetwarzać dane osobowe)” (P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz).

Podkreślić zatem należy, że skorzystanie z przesłanki wyrażonej w art. 6 ust. 1 lit. f) rozporządzenia 2016/679 wymaga pogłębionej analizy danego stanu faktycznego. W pierwszej kolejności należy ocenić, czy po stronie administratora lub strony trzeciej występuje prawnie uzasadniony interes. Zgodnie ze stanowiskiem W. Chomiczewskiego wyrażonym w komentarzu do rozporządzenia 2016/679 pt. „Prawnie uzasadniony interes, jako przesłanka legalizująca przetwarzanie danych – pojęcie” (LEX/el. 2018), „Dla realizacji celu wynikającego z tak rozumianego interesu administratora przetwarzanie musi być niezbędne. Oznacza to rozsądną potrzebę dla realizacji tego celu. Oceniać ją należy zarówno w odniesieniu do przetwarzania w ogóle, jak i do przetwarzania poszczególnych kategorii danych osobowych. W kolejnym kroku należy ocenić czy planowana realizacja celu wynikającego z prawnie uzasadnionego interesu administratora lub strony trzeciej może naruszać interesy, podstawowe prawa lub wolności podmiotu danych, które wymagają ochrony danych osobowych. Przetwarzanie na podstawie art. 6 ust. 1 lit. f rozporządzenia ogólnego nie będzie dopuszczalne, jeżeli po dokonaniu powyższej oceny okaże się, że interesy, podstawowe prawa i wolności podmiotu danych, które wymagają ochrony danych osobowych są nadrzędne nad prawnie uzasadnionymi interesami administratora lub strony trzeciej”.

Mając powyższe na względzie oraz biorąc pod uwagę dotychczasowe ustalenia dotyczące analizowanej sprawy, za bezzasadne należy uznać wskazywanie przez Administratora art. 6 ust. 1 lit. f) rozporządzenia 2016/679 jako podstawy prawnej upoważniającej do wdrożenia dodatkowego monitoringu wizyjnego w postaci 2 urządzeń monitorujących na 2 salach Oddziału (…).

Za chybione należy uznać także powołanie się Administratora na art. 22²ustawy Kodeks pracy, jako podstawy prawnej upoważniającej do wprowadzenia doraźnego monitoringu na 2 salach Oddziału (…). Zgodnie z treścią ww. przepisu dopuszcza się stosowanie monitoringu w zakładzie pracy, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Kwestia zasad wprowadzania monitoringu wizyjnego przez pracodawcę w miejscu pracy została podniesiona w wyroku Europejskiego Trybunału Praw Człowieka z dnia 17 października 2019 roku López Ribalda i Inni p. Hiszpanii [Wielka Izba], skargi nr 1874/13 i 8567/13, który wskazuje, że cyt.; „pracodawca może zastosować środki nadzoru wideo w miejscu pracy. Kryteria te należy stosować, biorąc pod uwagę specyfikę stosunku pracy oraz rozwój nowych technologii, które mogą umożliwiać podejmowanie środków coraz bardziej ingerujących w życie prywatne pracowników. W tym kontekście, aby zapewnić proporcjonalność środków nadzoru wideo w miejscu pracy, sądy krajowe powinny uwzględnić następujące czynniki przy dokonywaniu wyważenia różnych konkurujących interesów:
- czy pracownika powiadomiono o możliwości wprowadzenia przez pracodawcę środków nadzoru wideo i o zastosowaniu takich środków: chociaż w praktyce pracowników można powiadomić na różne sposoby – w zależności od konkretnych faktycznych okoliczności każdej sprawy, powiadomienie powinno co do zasady być jasne co do charakteru monitoringu i nastąpić przed jego zastosowaniem;
- zakres monitoringu prowadzonego przez pracodawcę i stopień ingerencji w prywatność pracownika: w tym względzie należy uwzględnić zakres prywatności w miejscu podlegającym monitorowaniu wraz ze wszelkimi ograniczeniami co do czasu i obszaru oraz liczby osób mających dostęp do wyników;
- czy pracodawca przedstawił uprawnione powody uzasadniające monitoring i jego zakres: im bardziej ingerujący monitoring, tym poważniejsze uzasadnienie jest wymagane;
- czy było możliwe wprowadzenie systemu monitoringu opartego na mniej ingerujących metodach i środkach: w tym względzie należy dokonać oceny w świetle konkretnych okoliczności każdej sprawy, czy cel, do którego dążył pracodawca, można było osiągnąć bez ingerowania w prywatność pracowników w takim zakresie;
- konsekwencje monitoringu dla podlegających mu pracowników: należy uwzględnić, w szczególności, wykorzystanie przez pracodawcę wyników monitoringu oraz to, czy wyniki te zostały wykorzystane do uzyskania zadeklarowanego celu tego środka;
- czy pracownikowi zapewniono odpowiednie gwarancje, zwłaszcza gdy funkcjonowanie monitoringu pracodawcy ma charakter ingerujący: gwarancje takie mogą przyjąć postać m.in. przekazania zainteresowanym pracownikom oraz przedstawicielom personelu informacji o zainstalowaniu i zakresie monitoringu, zadeklarowania takiego środka niezależnemu organowi lub istnienia możliwości złożenia skargi.”[4].

Aspekt poszanowania godności pracowników w związku z wprowadzeniem monitoringu wizyjnego w zakładzie pracy jest tematyką wielu publikacji w doktrynie. W przedmiotowym zakresie wypowiedział się również K. Jaśkowski [w:] E. Maniewska, K. Jaśkowski, Kodeks pracy. Komentarz, wyd. XI, Warszawa 2019, art. 22(2), art. 22(3) zwracając uwagę, że cyt.: „Bez wątpienia jednak monitorowanie pracy pracowników stanowi ingerencję w ich prawo do prywatności. Wykładni komentowanych przepisów należy zatem dokonywać z uwzględnieniem potrzeby wyważenia owych sprzecznych wartości i interesów obu stron stosunku pracy, co oznacza, że monitoring jako rodzaj kontroli pracownika przez pracodawcę musi uwzględniać potrzebę poszanowania dóbr osobistych pracowników, w tym prawa do prywatności. W tym zakresie należy brać pod uwagę także standardy wyznaczone przez orzecznictwo ETPC do art. 8 EKPC (por. w szczególności wyroki: z 9.01.2018 r., 1874/13 i 8567/13, López Ribalda i inni przeciwko Hiszpanii z glosą M. Mrowickiego, LEX nr 2418052; z 28.11.2017 r., 70838/13, Antović i Mirković przeciwko Czarnogórze; LEX nr 2398411; wyrok Wielkiej Izby z 5.09.2017 r., 61496/08, Bărbulescu przeciwko Rumunii z glosą M. Mrowickiego, LEX nr 2347233; z 3.04.2007 r., 62617/00, Copland przeciwko Wielkiej Brytanii, LEX nr 527588; z 2.08.1984., 8691/79, Malone przeciwko Wielkiej Brytanii, LEX nr 80974).”.

Zgodnie z informacjami przekazanymi przez Administratora w prowadzonej dotychczas korespondencji, wdrożenie przedmiotowego monitoringu nie było w żaden sposób związane z zapewnieniem personelowi bezpieczeństwa, czy też ochrony mienia, gdyż zamontowanie urządzeń monitorujących umotywowane było cyt. (…) „wyłącznie przyczynami związanymi z koniecznością wyeliminowania i zapobiegania na przyszłość sytuacji dotyczącej większej niż zazwyczaj liczby objawów zakażeń noworodków” (deklaracja Administratora w piśmie z 11 marca 2024 roku). Wobec powyższego, wskazana przez Administratora podstawa prawna nie ma zastosowania do ustalonego w trakcie postępowania administracyjnego stanu faktycznego sprawy. Mając na uwadze niniejsze rozbieżności, można odnieść wrażenie, że Administrator miał świadomość bezprawności swojego działania – w związku z powyższym jego działanie miało charakter intencjonalny i umyślny. W tym miejscu warto przywołać stanowisko Podsekretarza Stanu w Ministerstwie Zdrowia wyrażone w piśmie z 3 czerwca 2019 roku sygn. SZDL.073.3.2019.CP, będącym odpowiedzią na wystąpienie Rzecznika Praw Pacjenta do Ministra Zdrowia (sygn. RzPP-DSD.420.81.2019 RzPP-DSD.420.81.2019.JN.PGE) z 14 maja 2019 roku dot. monitoringu wizyjnego w podmiotach wykonujących działalność leczniczą cyt.: „Natomiast dopuszczenie monitoringu wizyjnego (stałej obserwacji pacjenta) w celu kontrolowania personelu medycznego oraz w pozostałych celach (organizacyjnych) innych niż związanych bezpośrednio z procesem leczenia pacjenta oraz zapewnienia mu bezpieczeństwa wydaje się ryzykowne. Takie nagrania, tj. utrwalone obrazy pacjenta (np. w intymnych sytuacjach) byłyby „produktem ubocznym” obserwacji personelu medycznego oraz stosowania przyjętych w danym szpitalu standardów medycznych i organizacyjnych. W tym przypadku zachodziłoby nadmierne ryzyko przedmiotowego traktowania pacjenta i naruszenia zasad poszanowania jego intymności, godności oraz prywatności”[5].

Biorąc pod uwagę powyższe ustalenia, zasadne jest stanowisko Prezesa UODO, że w analizowanym przypadku zastosowany przez Administratora monitoring wizyjny na 2 salach Oddziału (…) został wprowadzony bez spełnienia warunków przewidzianych w obowiązujących przepisach prawa. Nie ulega wątpliwości również fakt, że dane osobowe pacjentów objętych przedmiotowym monitoringiem wizyjnym stanowiły szczególną kategorie danych osobowych (tj. dane o stanie zdrowia), podlegającą szczególnej ochronie unormowanej na gruncie art. 9 ust. 1 rozporządzenia 2016/679, z której Administrator skutecznie się nie wywiązał. Zaznaczenia wymaga, że w toku postępowania nie ustalono, aby doraźny monitoring wizyjny na 2 salach Oddziału (…) rejestrował również dźwięk.

Przy analizie przedmiotowej sprawy kluczowe jest podkreślenie i wyraźne wybrzmienie faktu, że zastosowany monitoring wizyjny na 2 salach Oddziału (…) wprowadzony nieprawidłowo, tj. niezgodnie z obowiązującymi przepisami rażąco zagrażał prawidłowej realizacji praw przysługującym obywatelom na mocy Konstytucji Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 ze zm.). Jest to szczególnie ważne, jako że zgodnie z art. 47 Konstytucji RP każda osoba ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Zaznaczenia wymaga, że prawo do prywatności jest jednym z podstawowych praw człowieka, a jego ochrona stanowi element zasadniczy systemu wartości. Jednocześnie, skutki naruszeń nieuprawnionego dostępu do informacji mogą być dochodzone na podstawie przepisów prawa cywilnego, karnego oraz administracyjnego. W przedmiotowej materii wypowiedział się również Sąd Apelacyjny w Warszawie w wyroku z 19 listopada 2019 r., sygn. akt VI ACa 397/18, wskazując, że „Prawo do prywatności w świetle regulacji konstytucyjnych ujmowane jest przede wszystkim przez pryzmat autonomii jednostki wywodzonej z godnościowej koncepcji osoby ludzkiej, stanowiącej, w świetle art. 30 Konstytucji RP, źródło wszelkich praw i wolności. Prawo do ochrony życia prywatnego, stanowiące przedmiot ochrony na gruncie art. 47 Konstytucji RP, oznacza prawo jednostki do decydowania o swoim życiu osobistym. Jednostka, jako podmiot obdarzony autonomią woli, ma prawo samodzielnie wyznaczać obszar swojej prywatności, w szczególności wytyczać granice dostępności swojego życia osobistego i informacji o nim dla innych. Prawo do prywatności w aspekcie autonomii informacyjnej jednostki oznacza uprawnienie do decydowania, które informacje jej dotyczące dostępne będą osobom trzecim”. W korelacji z ww. przepisem jest również art. 51 Konstytucji RP, zgodnie z którym każdy obywatel ma prawo do ochrony danych osobowych. Zdaniem Sądu Apelacyjnego w Warszawie (wyrok z 23 sierpnia 2018 r., sygn. akt VI ACa 1927/16), „Prawo do ochrony danych osobowych stanowi emanację prawa do autonomii informacyjnej, pozwalając jednostce w określonym zakresie kontrolować sposób i zakres udostępnianych informacji jej dotyczących. W przypadku jego naruszenia, stosownie do konkretnych okoliczności sprawy, może dojść do naruszenia określonych dóbr osobistych, podlegających odrębnemu reżimowi, chronionych przepisami Konstytucji, jak również w szczególności w ramach regulacji art. 23 k.c. i 24 k.c”.

Oprócz praw zagwarantowanych Konstytucją RP warto w niniejszej sprawie przywołać również art. 20 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2024 r. poz. 581), który stanowi, że pacjent ma prawo do poszanowania intymności i godności, w szczególności w czasie udzielania mu świadczeń zdrowotnych. W tym miejscu na szczególne podkreślenie zasługuje fakt, że wprowadzony przez Administratora monitoring wizyjny na 2 salach Oddziału (…) swoim zakresem rejestrował obraz ukazujący zarówno noworodków, jak ich matki, pozwalając na utrwalanie ich wizerunków także podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci czy ich pielęgnacja – co pozostaje w sprzeczności z obowiązkiem poszanowania intymności i godności pacjentów, o których mowa powyżej. Szczegółowo w zakresie wykładni ww. normy prawnej wyraził się P. Grzesiewski [w:] Prawa pacjenta i Rzecznik Praw Pacjenta. Komentarz, red. D. Karkowska, Warszawa 2021, art. 20. „Na wstępie analizy dotyczącej wartości chronionych art. 20 ust. 1 u.p.p. zaznaczenia wymaga, że przepis ten reguluje dwa odrębne prawa – do poszanowania godności oraz do poszanowania intymności. Godność i intymność nie zostały nigdzie zdefiniowane. Poszukując znaczenia tych pojęć na potrzeby niniejszej analizy, należy sięgnąć przede wszystkim do orzecznictwa Trybunału Konstytucyjnego. Pierwszoplanową rolę odgrywa oczywiście godność, jako fundament wszelkich wolności i praw. Z nią, a także z prawem do prywatności, związana jest intymność. Terminy te są przedmiotowo powiązane, a ich zakresy przenikają się. W przypadku godności podstawowe znaczenie ma art. 30 Konstytucji RP, w świetle którego przyrodzona i niezbywalna godność człowieka stanowi źródło wolności i praw człowieka i obywatela. Doniosłość godności człowieka ustrojodawca wyraził także w preambule do ustawy zasadniczej, wzywając wszystkich stosujących Konstytucję RP, aby czynili to, dbając o zachowanie przyrodzonej godności człowieka. Godność jest nienaruszalna, a jej poszanowanie (jak już wcześniej wskazano) i ochrona jest obowiązkiem władz publicznych. Dla określenia przedmiotu i zakresu ochrony ustalonej przez art. 20 ust. 1 u.p.p. ważne jest, że godności człowieka nie można rozpatrywać wyłącznie w jednej płaszczyźnie pojęciowej. W orzecznictwie Trybunału Konstytucyjnego utrwaliło się dwuwymiarowe postrzeganie konstytucyjnie gwarantowanej godności człowieka – po pierwsze, godność człowieka, jako wartość transcendentna, pierwotna wobec innych praw i wolności człowieka (dla których jest źródłem), przyrodzona i niezbywalna – towarzyszy człowiekowi zawsze i nie może być naruszona ani przez prawodawcę, ani przez określone czyny innych podmiotów”. Tożsame stanowisko zostało zaprezentowane w wyroku NSA z dnia 25 lutego 2020 r., sygn. II OSK 3837/19, cyt. (…) „Na poszanowanie godności człowieka składa się szereg wartości. Z punktu praw pacjenta na poszanowanie godności składa się prawo do intymności. Wyrazem tego prawa do poszanowania intymności jest takie działanie podmiotu udzielającego świadczeń zdrowotnych, które tej sfery nie narusza. Przekroczeniem jest wprowadzenie takiego systemu monitorowania pacjentów, który przekracza granice wyznaczone przepisami prawa […]. Prawo pacjenta do ochrony intymności i godności obejmuje przyznanie mu prawa do poinformowania o monitoringu i do tego, że ma prawo do wyrażenia lub odmowy wyrażenia zgody na monitorowanie”. Pozostając w tematyce poszanowania godności, w tym miejscu warto odnieść się do raportu (wyniku kontroli przeprowadzonej w latach 2019-2023) Najwyższej Izby Kontroli pt. „Przestrzeganie Praw Pacjenta w systemie ochrony zdrowia” (sygn. KZD.430.1.2024, Nr ewid.15/2024/P/23/047/KZD) opublikowanego 19 września 2024 roku, który wskazuje liczne nieprawidłowości w zakresie przestrzegania prawa do poszanowania intymności i godności pacjentów w trakcie udzielania świadczeń zdrowotnych. Ww. kontrola swoim zakresem obejmowała również kwestię monitoringu wizyjnego, której wnioski pokontrolne uwypuklają problem związany z prowadzeniem rejestracji obrazu w podmiotach leczniczych. Najwyższa Izba Kontroli podkreśliła, że cyt.: „Ograniczeniem prywatności pacjenta jest nieuzasadnione, nadmierne stosowanie monitoringu wizyjnego. Z ustaleń kontroli wynika, iż monitoringiem wizyjnym obejmowano pomieszczenia, w których obowiązujące w okresie objętym kontrolą przepisy nie przewidywały obecności kamer, a regulaminy wewnętrzne dotyczące monitoringu wizyjnego były niekiedy sporządzane nierzetelnie. Nieprawidłowości w tym zakresie stwierdzono w przypadku 18 % podmiotów”[6].

Reasumując przeanalizowane powyżej argumenty wyraźnego podkreślenia wymaga fakt, że Administrator w okresie stosowania doraźnego monitoringu wizyjnego na salach Oddziału (…) przetwarzał dane osobowe pacjentów, stanowiące także szczególną kategorie danych osobowych (tj. dane o stanie zdrowia) niezgodnie z obowiązującymi przepisami prawa, a więc z naruszeniem przepisów, tj. art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679, a w konsekwencji z naruszeniem zasady zgodności z prawem, wyrażonej w art. 5 ust. 1 lit. a) rozporządzenia 2016/679 i zasady rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679.

II. Obowiązek informacyjny.
Prezes UODO w prowadzonym postępowaniu administracyjnym stwierdził również naruszenie przez Administratora art. 13 ust. 1 i 2 rozporządzenia 2016/679, który odnosi się do obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane. Zgodnie z art. 13 ust. 1 rozporządzenia 2016/679, administrator zobligowany jest do przekazania osobom, od których pozostał dane osobowe następujące informacje: swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela, gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych, cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych. Natomiast stosownie do art. 13 ust. 2 rozporządzenia 2016/679, oprócz informacji wyszczególnionych w ust. 1 ww. artykułu administrator zobowiązany jest do przekazania osobom, od których pozostał dane osobowe informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania: okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, informacje o prawie wniesienia skargi do organu nadzorczego, informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Organ nadzorczy po przeprowadzonej analizie treści klauzuli informacyjnej oraz złożonych w tym zakresie wyjaśnień przez Administratora stwierdził, że Centrum Medyczne nie spełniło obowiązku informacyjnego wynikającego z ww. przepisu rozporządzenia 2016/679 wobec osób, których dane objęte zostały doraźnym monitoringiem wizyjnym na 2 salach Oddziału (…). Zgodnie z pkt 4 klauzuli informacyjnej przedłożonej w piśmie z 17 sierpnia 2023 roku cyt. (…) „monitoring wizyjny obejmuje obszar budynku zlokalizowanego przy ul. (…) w K. (pomieszczenia ogólnodostępne oraz kluczowe pomieszczenia, zgodnie z obowiązującymi przepisami) oraz obszar wokół tego budynku”. Zapis sformułowany w zaprezentowany sposób nie daje pełnowartościowej i wyczerpującej informacji podmiotom danych, co do realnego obszaru objętego monitoringiem wizyjnym w Placówce, w szczególności bezpośrednio nie wskazuje, że monitoring stosowany jest również na salach łóżkowych. Należy stanowczo zaznaczyć, że podczas stosowania monitoringu wizyjnego kluczowym elementem jest precyzyjne i rzetelne wykazanie pomieszczeń, w których zamontowane są urządzenia monitorujące. Użyte przez Administratora określenie „pomieszczenia kluczowe” jest zbyt ogólnikowe i może budzić wątpliwości interpretacyjne. Administrator musi także pamiętać o tym, że informacje w tym zakresie są przeznaczone dla osób, których dane dotyczą, a zatem muszą być dla nich zrozumiałe. Innymi słowy, z treści klauzuli informacyjnej w sposób niebudzący wątpliwości powinno wynikać, w jakich pomieszczeniach monitoring wizyjny został zainstalowany. Użycie sformułowania „kluczowe pomieszczenia” tego wymogu nie spełnia, bowiem osoby, których dane dotyczą, nie znają (i nie muszą znać) zakresu pojęciowego tego terminu, tj. wiedzieć, jakie pomieszczenia Administrator uznaje za kluczowe.

Zdaniem Centrum Medycznego, które zostało wyrażone w piśmie z 24 października 2023 roku cyt. (…) „Rzeczona klauzula informacyjna celowo została skonstruowana w taki sposób, tj. z ogólnym ujęciem pomieszczeń, które nie są ogólnodostępne, jako „kluczowe pomieszczenia, zgodnie z obowiązującymi przepisami", aby spełnić ustanowiony w art. 12 RODO wymóg zwięzłości udzielanej informacji, o której mowa w art. 13 RODO, tj. klauzuli informacyjnej. Przy zastosowaniu rozwiązania, w którym wszelkie pomieszczenia objęte monitoringiem zostałyby enumeratywnie wymienione w treści klauzuli informacyjnej, jej objętość byłaby znacznie większa, co nie spełniałoby wspomnianej zasady zwięzłości informacji, a ponadto stałaby się ona nieprzejrzysta, z uwagi na fakt, że sama tylko lista monitorowanych pomieszczeń wypełniałaby większość jej treści”. W tym miejscu należy podkreślić, że Administrator przez pryzmat analizowanej sprawy dokonał nadinterpretacji i wypaczenia art. 12 ust. 1 rozporządzenia 2016/679, gdyż określenie „kluczowe pomieszczenia”, jak to wyżej wykazano, nie jest zrozumiałe dla osób, których dane dotyczą, a zatem nie spełnia wymogu przejrzystego informowania zgodnie z tym przepisem rozporządzenia 2016/679. Zaznaczyć w tym miejscu należy, że nie może dochodzić do sytuacji, w których Administrator zasłaniając się zasadą zwięzłości i przejrzystości nie udziela podmiotom danych pełnej i rzetelnej, a także zrozumiałej dla nich, informacji na temat przetwarzania ich danych osobowych.

Podkreślić należy, że dla podmiotów danych jedną z nadrzędnych informacji, jaką chcieliby uzyskać w zakresie stosowanego monitoringu w placówkach medycznych, z których usług korzystają, jest informacja o konkretnych pomieszczeniach, w jakich jest on stosowany. Z perspektywy osób, których dane dotyczą, obok podstawy prawnej przetwarzania, jest to najcenniejsza informacja. Usprawiedliwianie zaniechań i nieprawidłowości Administratora w zakresie realizacji zapisów art. 13 rozporządzenia 2016/679 w opisany powyżej sposób jest zatem niedopuszczalne.

Warto podkreślić, że Administrator mając na względzie obszerność przekazywanej informacji mógł zastosować zaproponowaną przez Grupę Roboczą Art. 29 w Wytycznych w sprawie przejrzystości na podstawie rozporządzenia 2016/679 z 29 listopada 2017 r. warstwową klauzulę informacyjną. Warstwowe spełnianie obowiązku informacyjnego może być stosowane w różnych formach komunikacji, w tym cyfrowej, telefonicznej czy osobistej oraz przy różnych podstawach przetwarzania. Przedmiotowe zagadnienie zostało również wyrażone w Wytycznych Europejskiej Rady Ochrony Danych 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo przyjętych 29 stycznia 2020 r cyt. (…) „W świetle ilości informacji, które należy dostarczyć osobie, której dane dotyczą, administratorzy danych mogą przyjąć podejście warstwowe, jeżeli postanowią wykorzystać kombinację metod w celu zapewnienia przejrzystości (WP260, pkt 35; WP89, pkt 22). W kwestii monitoringu wizyjnego najważniejsze informacje powinny zostać umieszczone na samym znaku ostrzegawczym (pierwsza warstwa), a dalsze obligatoryjne szczegóły mogą być udostępnione za pośrednictwem innych środków (druga warstwa).” (s. 28 pkt. 111)”.

Jednocześnie, pozostając w tematyce obowiązku informacyjnego, należy wskazać, że informacja o stosowanym monitoringu wizyjnym umieszczona została (poprzez naklejkę informacyjną) jedynie na głównych drzwiach Oddziału (…), a nie bezpośrednio przy salach z zamontowanym doraźnym monitoringiem. Powyższe może wprowadzać w błąd zarówno pacjentów, osoby odwiedzające pacjentów, jak i pracowników placówki, co do faktycznego obszaru objętego monitoringiem. Prezes UODO dwukrotnie (pisma z 25 września i 11 października 2023 r.) zwrócił się do Administratora z zapytaniem, czy w stosunku do osób objętych monitoringiem na ww. salach Oddziału (…) został spełniony obowiązek informacyjnym o stosowanym monitoringu wizyjnym, natomiast nie uzyskał on adekwatnej odpowiedzi. Pismami z 5 oraz 24 października 2023 r. Centrum Medyczne enigmatycznymi słowami podkreśliło jedynie, że cyt.(…) „Użytkownicy sal, na których stosowany był monitoring wizyjny, w tym pacjenci, osoby odwiedzające pacjentów oraz pracownicy Szpitala, byli informowani o stosowaniu monitoringu wizyjnego na terenie Szpitala poprzez naklejki znajdujące się na budynku Szpitala w miejscach stosowanego monitoringu, zawierające rzeczone informacje oraz odsyłające do treści klauzuli informacyjnej dotyczącej stosowania monitoringu wizyjnego, poprzez kod QR przekierowujący do strony internetowej z przedmiotową klauzulą”. Tymczasem, jak wykazano wyżej, tak przedstawiona informacja nie spełniała swojego podstawowego celu, bowiem osoby, których dane dotyczą, nie miały wiedzy, że zakresem monitoringu objęte zostały również 2 sale Oddziału (…).

Trzeba rozważyć również charakter zastosowanego monitoringu wizyjnego. Pierwotne informacje wskazane w artykule wskazywały, że wprowadzony monitoring wizyjny na 2 salach Oddziału (…) nie miał jawnej formy. Zgodnie z informacjami, zarówno pracownicy, jak i pacjenci nie zostali poinformowani o wdrożonym monitoringu. Dodatkowym aspektem przemawiającym za ww. stwierdzeniem jest fakt, że Administrator do realizacji ww. działań zastosował zegary z funkcją rejestracji obrazu (tj. kamera zamontowana w zegarze umożliwiająca nagrywanie obrazu), o czym poinformował organ nadzorczy w piśmie z 17 sierpnia 2023 roku. W tej samej korespondencji Administrator wskazał, że wykorzystanie tego typu urządzeń monitorujących umożliwiło szybkie działanie i montaż (mając na uwadze konieczność niezwłocznego podjęcia odpowiednich kroków w związku z zagrożeniem bezpieczeństwa noworodków), cyt. (…) „w przeciwieństwie do rozwiązań z kamerami przewodowymi, których montaż wymagałby dłuższego czasu oraz podjęcia bardziej zaawansowanych czynności, m.in. budowlanych, co z uwagi na charakter Oddziału i potencjalną uciążliwość dla normalnego jego funkcjonowania było w tym czasie wykluczone”. Ponadto, podkreślenia wymaga fakt, że wdrożenie doraźnego monitoringu poprzez zamontowanie 2 dodatkowych kamer nie odbywało się na podstawie harmonogramu i nie został sporządzony w niniejszym zakresie protokół dotyczący ich montażu. Kolejnym czynnikiem pozostającym w opozycji co do jawnego charakteru zastosowanego monitoringu wizyjnego jest niewiedza personelu placówki o wprowadzonych działaniach. Zgodnie z postanowieniami „Polityki (…)” obowiązującej od 1 kwietnia 2019 r. cyt. (…) „(…)”. Administrator zapytany przez Prezesa UODO pismem z 28 lutego 2024 r. o to, czy przed wdrożeniem niniejszego monitoringu poinformował pracowników o wprowadzeniu nowych obszarów objętych monitoringiem zgodnie z obowiązującą w organizacji „Polityką (…)” sekcja „Zasady (…)”, pismem z 11 marca 2024 roku odniósł się do ww. zagadnienia wymijająco, udzielając nieadekwatnej odpowiedzi cyt. (…) „Pracownicy spółki zostali poinformowani o podjęciu w (…) roku uchwały przez zarząd X. w sprawie wprowadzenia zmian w Regulaminie (…) dotyczących wprowadzenia w trybie art. 22 ²Kodeksu Pracy monitoringu wizyjnego na terenie zakładu pracy od dnia 1 lipca 2021 roku. Informacja ta została przekazana wszystkim pracownikom Szpitala mailowo po podjęciu rzeczonej uchwały” (e-mail przesłany do wszystkich pracowników placówki w dniu 25 sierpnia 2021 roku). Wartym przypomnienia jest fakt, że doraźny monitoring wizyjny na salach Oddziału (…) stosowany był w okresie od 1 do 23 lipca 2023 roku, wobec powyższego informacja przekazana pracownikom w 2021 roku siłą rzeczy nie może obejmować rozszerzenia monitoringu, które miało miejsce w 2023 roku.

W tym miejscu warto przywołać dokument pt. „Wskazówki Prezesa Urzędu Ochrony Danych Osobowych dotyczące wykorzystywania monitoringu wizyjnego Wersja 1 czerwiec 2018”[7], w którym podkreśla się, że cyt.(…) „Przepisy RODO oraz unormowania krajowe nie pozwalają, by monitoring był prowadzony przy pomocy ukrytych kamer. Uprawnienia do prowadzenia niejawnego monitorowania mają jedynie służby porządkowe i specjalne prowadzące czynności na podstawie ustaw regulujących ich działalność. Stosowanie ukrytych kamer może zostać uznane za nadmiarową formę przetwarzania danych, wiązać się z odpowiedzialnością administracyjną i cywilną, a nawet karną”.

Tym samym, analizując zebrany materiał dowodowy, należy bezsprzecznie stwierdzić, że monitoring wizyjny zastosowany na ww. obszarze był monitoringiem ukrytym, o którym nie zostali poinformowani ani pacjenci, ani pracownicy placówki. Jednocześnie podkreślenia wymaga, że o wątpliwej formie wdrożenia niniejszego monitoringu był świadomy również sam Administrator, deklarując ten fakt w piśmie z 12 lutego 2024 r. cyt. (…) „Zdajemy sobie sprawę z niedoskonałości zastosowanego sposobu doraźnego monitoringu”.

Dokonując posumowania ww. rozważań, Prezes UODO na podstawie zebranych dowodów stwierdził, że Centrum Medyczne nie wywiązało się z obowiązku informacyjnego wobec osób objętych doraźnym monitoringiem wizyjnym na salach Oddziału (…), naruszając tym samym swoje obowiązki wynikające z art. 13 ust. 1 i 2 rozporządzenia 2016/679.

III. Zasady bezpieczeństwa przetwarzania danych osobowych.
Art. 5 ust. 1 lit. f) rozporządzenia 2016/679 wskazuje, że dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Konkretyzację ww. zasady poufności, o której mowa powyżej, stanowią dalsze przepisy niniejszego rozporządzenia, w tym art. 24 ust. 1 rozporządzenia 2016/679, który wskazuje, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem 2016/679 i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jak wynika z art. 24 ust. 1 rozporządzenia 2016/679, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze są czynnikami, które administrator ma obowiązek uwzględniać w procesie budowania systemu ochrony danych, również w szczególności z punktu widzenia pozostałych obowiązków wskazanych w art. 25 ust. 1, art. 32 ust. 1 czy art. 32 ust. 2 rozporządzenia 2016/679. Wskazane przepisy uszczegóławiają zasadę poufności określoną w art. 5 ust. 1 lit. f) rozporządzenia 2016/679, a przestrzeganie tej zasady jest konieczne dla prawidłowej realizacji zasady rozliczalności wynikającej z art. 5 ust. 2 rozporządzenia 2016/679.

W myśl z art. 25 ust. 1 rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Z treści art. 32 ust. 1 rozporządzenia 2016/679 wynika, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez Administratora, zawartych na zagubionych bądź skradzionych kartach pamięci, które umieszone były w urządzeniach monitoringu wizyjnego (tj. wizerunek oraz dane dotyczące zdrowia), w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, Administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego była utrata kontroli nad danymi osobowymi osób, których dane znajdowały się na zagubionych bądź skradzionych kartach pamięci, na których był przechowywany zapis z monitoringu wizyjnego zamontowanego na 2 salach Oddziału (…).

Jednocześnie podkreślenia wymaga, że ze względu na charakter i specyfikę Oddziału (…) pacjentami były również dzieci (noworodki). Jest to istotne, gdyż w momencie zagubienia bądź kradzieży kart pamięci z utrwalonymi wizerunkami nowonarodzonych pacjentów nie można wykluczyć upublicznienia pozyskanych przez osobę nieuprawnioną obrazów na serwisach internetowych. Zgodnie z prowadzoną kampanią edukacyjną i opublikowanym poradnikiem pn. „Wizerunek dziecka w intrenecie”, Prezes UODO odnosi się w nim do ryzyk związanych ze wspominanym udostępnianiem wizerunków dzieci, takich jak cyberprzemoc, czy też wykorzystanie treści z ich udziałem w celach przestępczych.

Wskazać należy, że rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem stanowi fundament działań związanych z ochroną danych osobowych. Zarządzanie ryzykiem ma charakter ciągłego procesu wymuszającego na administratorze danych nie tylko zapewnienie zgodności z przepisami rozporządzenia 2016/679 poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale także zapewnienie ciągłości monitorowania poziomu zagrożeń oraz zapewnienie rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Wobec powyższego, koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma zatem przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiego podejścia jest konieczność samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie są wskazywane konkretne środki i procedury w zakresie bezpieczeństwa. Przeprowadzenie szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonanie oceny ryzyka stanowi obowiązek Administratora, który następnie, na podstawie takiej analizy, powinien zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Wobec powyższego, to odpowiednio przeprowadzona ocena ryzyka zapewnia administratorowi możliwość określenia i wprowadzenia środków technicznych i organizacyjnych, które spowodują wyeliminowanie lub co najmniej znaczne obniżenie ustalonego poziomu ryzyka materializacji zidentyfikowanych zagrożeń dla przetwarzanych danych osobowych. Ocena ryzyka przeprowadzona przez administratora powinna zostać udokumentowana oraz uzasadniona stanem faktycznym istniejącym w chwili jej przeprowadzania. Główne czynniki składające się na prawidłową ocenę, które powinny zostać wzięte pod uwagę podczas przeprowadzania analizy, to charakterystyka zachodzących procesów przetwarzania, aktywa, podatności, zagrożenia oraz aktualne zabezpieczenia. Należy pamiętać, że istotne przy ocenianiu ryzyka są również takie czynniki, jak zakres i charakter przetwarzanych przez administratora danych osobowych, gdyż to od nich zależeć będą ewentualne negatywne skutki dla osoby fizycznej występujące w momencie naruszenia ochrony jej danych osobowych.

Przekazana przez Administratora pismem z 11 marca 2024 roku analiza ryzyka w postaci dokumentu pt. „Analiza (…)” (brak daty sporządzenia) budzi wiele wątpliwości. Przeprowadzona przez Centrum Medyczne analiza ryzyka została sporządzona w sposób nieprawidłowy, gdyż nie uwzględniała ona szczegółowo wyodrębnionych podatności, a zagrożenia związane z przetwarzaniem danych osobowych w związku z prowadzonym monitoringiem wizyjnym nie zostały prawidłowo i wyczerpująco zidentyfikowane. W konsekwencji ww. analiza ryzyka nie określała środków bezpieczeństwa, mających na celu zmitygowanie ryzyk związanych z prowadzonym przez Placówkę monitoringiem wizyjnym.

Analizując przedłożony dokument należy stwierdzić, że wśród zawartych w analizie ryzyka postanowień Administrator nie wskazał możliwości wystąpienia zdarzenia polegającego na zagubieniu bądź kradzieży zewnętrznych nośników danych (tj. kart pamięci). Wobec powyższego, przyjąć należy, że Centrum Medyczne w sposób nieadekwatny przeprowadziło ww. analizę, nie uwzględniając tym samym adekwatnych ryzyk związanych z prowadzonym w Placówce monitoringiem wizyjnym. Administrator zaniechał zatem przeprowadzenia analizy ryzyka dla sytuacji, która spowodowała wystąpienie zgłoszonego Prezesowi UODO naruszenia ochrony danych osobowych, co należy uznać za niezgodne z przytoczonymi wyżej przepisami rozporządzenia 2016/679. Tymczasem, jak wskazał WSA w Warszawie w wyroku z 13 maja 2021 r., sygn. akt II SA/Wa 2129/20, „Administrator danych powinien, zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”. Podobnie wypowiedział się WSA w Warszawie w wyroku z 5 października 2023 r., sygn. akt II SA/Wa 502/23. Z kolei w wyroku z 27 lutego 2024 r., sygn. akt II SA/Wa 1404/23, WSA w Warszawie stwierdził, że „(…) nie ulega wątpliwości to, że aby analiza ryzyka została w ogóle przeprowadzona w sposób właściwy, winny być przez administratora prawidłowo zdefiniowane zagrożenia, mogące wystąpić w procesie przetwarzania danych”.

Nadmienić w tym miejscu należy również, że Administrator posiadał wdrożony „System (…)”, który obejmował również procedurę (…). „Procedura (…)” obowiązywała w organizacji od 1 kwietnia 2019 roku i zgodnie z deklaracją Administratora zawartą w piśmie z 11 marca 2024 roku cyt. (…) „dokument „Procedura (…)" nie był aktualizowany po 30 kwietnia 2021 roku”, kiedy to miała miejsce ostatnia modyfikacja ww. dokumentu. Jednocześnie, zgodnie z zapisami analizowanej procedury sekcja „Zabezpieczenie (…)” pkt (…) cyt. (…) „(…)”. Wobec powyższego, Prezes UODO dwukrotnie pismami z 11 października 2023 roku oraz 28 lutego 2024 roku skierował do Administratora zapytanie, czy utracone (tj. zagubione bądź skradzione) karty pamięci, na których zapisywany był obraz wizyjny z zamontowanych kamer, były zabezpieczone kryptograficznie zgodnie z obowiązującymi w organizacji wytycznymi. Centrum Medyczne w pismach z 24 października 2023 roku oraz 11 marca 2024 roku udzieliło odpowiedzi i potwierdziło, iż cyt. (…) „Karty pamięci z dodatkowych urządzeń monitorujących nie zostały zabezpieczone kryptograficznie”.

Istotnym dla niniejszej spraw jest również dokument pt. „Opis (…)” (data wskazana na dokumencie: 20 października 2023 roku), który został przedłożony organowi nadzorczemu w piśmie z 24 października 2023 roku. Zgodnie z zasadami wyszczególnionymi w przywołanym powyżej dokumencie:
- wewnętrzna sieć komputerowa, w której jest zainstalowany monitoring posiada segmentację oraz kontrolę dostępu realizowaną przez oprogramowanie (…),
- monitorowanie działania poszczególnych kamer, rejestratorów i jak wszystkich innych istotnych do prawidłowego funkcjonowania spółki urządzeń, oprogramowania i usług realizowane jest przez oprogramowanie monitorujące (…), które oprócz powiadamiania o jakichkolwiek anomaliach w monitorowanych zasobach rejestruje także wszystkie zdarzenia,
- dodatkowe rozwiązania wdrożone w sieci podnoszące poziom bezpieczeństwa w tym przetwarzanych danych w zakresie monitoringu wizyjnego to systemy zarządzania podatnościami (…) oraz system zabezpieczenia (…) wraz z usługą (…).

Jednocześnie należy zaznaczyć, że Administrator zapytany o to, czy dodatkowe urządzenia monitorujące zamontowane na przedmiotowych salach Oddziału (…) były skonfigurowane z użytkowanym w organizacji oprogramowaniem (…), (…) oraz (…), a także czy niniejsze kamery były zainstalowane w (…) odpowiedział przecząco wskazując, że cyt. (…) „dwa dodatkowe urządzenia monitorujące wstawione do sal Oddziału (…) nie odpowiadały wymogom ustalonym w załączonym do ostatniego pisma dokumentu, tj. „Opis (…)" oraz dodatkowe urządzenia nie byty skonfigurowane z oprogramowaniem (…), (…) lub (…)”.

Tym samym wskazać należy, że zgodnie z ustalonym stanem faktycznym Administrator nie zastosował się do własnych regulacji i procedur związanych z wprowadzeniem monitoringu wizyjnego oraz zabezpieczaniem nośników danych, czego miał pełną świadomość. W przedmiotowej tematyce wypowiedział się również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 19 stycznia 2021 r., sygn. akt II SA/Wa 702/20, w którym podniósł, że „(…) administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679)”. Warto także przytoczyć wyrok Naczelnego Sądu Administracyjnego z 5 lipca 2024 r., sygn. akt III OSK 2654/22, w którym wskazano, że „(…) administrator miał obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Poprzez wdrożenie takich środków należy rozumieć wprowadzenie zabezpieczeń, które będą adekwatne do przyjętego ryzyka, ergo będą zapobiegać naruszeniu zasad przetwarzania danych osobowych w normalnych warunkach. W realiach niniejszej sprawy nie chodziło więc o zapobieżenie zagubienia nośników z danymi osobowymi, lecz o zapobieżenie ich ujawnienia na wypadek takiego zagubienia”.

Zarządzanie ryzykiem (przeprowadzenie analizy ryzyka i na tej podstawie wdrożenie odpowiednich zabezpieczeń) jest jednym z podstawowych elementów systemu ochrony danych osobowych i ma charakter ciągłego procesu. W przedmiotowej sprawie Administrator nie zastosował środków technicznych oraz organizacyjnych gwarantujących odpowiedni poziom bezpieczeństwa przetwarzanych danych, znajdujących się na zagubionych bądź skradzionych kartach pamięci. W tym miejscu trzeba przywołać wyrok NSA z 6 grudnia 2023 roku, sygn. akt III OSK 2931/21, który podkreślił, że cyt. (…) „Bezspornie "odpowiednie" na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego)”.

Jednocześnie wyszczególnienia wymaga informacja przekazana przez Administratora wskazująca, że cyt. (…) „Spółka od kilkunastu lat posiada certyfikat systemu zarządzania zaświadczający, że wprowadziła i stosuje System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami PN-EN ISO/IEC 27001:2017-06, przechodząc coroczne audyty (ostatni z października 2022 roku). Uzyskanie przedmiotowych certyfikatów poprzedza przeprowadzenie zewnętrznych audytów, weryfikujących m.in. kwestie przestrzegania procedur w zakresie m.in. monitoringu wizyjnego w Szpitalu”. Tym samym budzić musi zaniepokojenie, że placówka medyczna posiadająca taki certyfikat dokonała naruszenia przepisów rozporządzenia 2016/679 w omawianym zakresie w następstwie nieprawidłowo przeprowadzonej analizy ryzyka oraz niezastosowania się do własnych procedur w zakresie zabezpieczenia nośników danych.

W świetle dokonanych w toku niniejszego postępowania ustaleń wskazać należy, że Administrator nie stosując środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa przetwarzanych danych, rezultatem, czego było naruszenie ochrony danych osobowych zgłoszone Prezesowi UODO, naruszył art. 5 ust. 1 lit. f) rozporządzenia 2016/679, odzwierciedlony w postaci obowiązków określonych w art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i art. 32 ust. 2. Konsekwencją zaś naruszenia art. 5 ust. 1 lit. f) rozporządzenia 2016/679 jest naruszenie zasady rozliczalności wyrażonej w art. 5 ust. 2 rozporządzenia 2016/679. Jak wynika z orzeczenia Wojewódzkiego Sądu Administracyjnego w Warszawie z 10 lutego 2021 roku, sygn. akt II SA/Wa 2378/20, „Zasada rozliczalności bazuje, więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię zasady rozliczalności interpretuje Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 26 sierpnia 2020 roku, sygn. akt II SA/Wa 2826/19, „Biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator danych powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.

Oceniając okoliczności przedmiotowego naruszenia ochrony danych osobowych, należy podkreślić, że stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, iż celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np., co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości.

IV. Administracyjne kary pieniężne.
A. Zachowania podlegające administracyjnym karom pieniężnym.
Zastosowanie art. 83 ust. 3 rozporządzenia 2016/679.

Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i) rozporządzenia 2016/679, zgodnie, z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a)-h) oraz lit. j) tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 ust. 4 lit. a) i ust. 5 lit. a) i b) rozporządzenia 2016/679, mając na względzie okoliczności ustalone w przedmiotowym postępowaniu stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Administratora administracyjnej kary pieniężnej.

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679.

Zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 - 39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 83 ust. 5 lit. a) i b) rozporządzenia 2016/679, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9, i praw osób, których dane dotyczą, o których mowa w art. 12-22, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Art. 83 ust. 3 rozporządzenia 2016/679 natomiast stanowi, że jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.

W związku ze stwierdzeniem w niniejszej sprawie wielu naruszeń przepisów rozporządzenia 2016/679 (art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także art. 5 ust. 1 lit. a) i f) oraz art. 5 ust. 2) Prezes UODO uprawniony jest do zastosowania jednego lub kilku środków naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Wśród tych uprawnień organu nadzorczego znajduje się uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w tym przepisie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy. Okoliczności niniejszej sprawy, w szczególności powaga stwierdzonych naruszeń, o czym będzie mowa w dalszych częściach uzasadnienia, wskazują, że stosownym i koniecznym będzie skorzystanie z tego uprawnienia.

Ustalając konkretne sankcje za stwierdzone w niniejszej sprawie naruszenia Prezes UODO skorzystał ze wskazówek zawartych w Wytycznych EROD 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO (wersja 2.1) przyjętych 24 maja 2023 r., zwanych dalej „Wytycznymi 04/2022”. Pierwszym krokiem przyjętej tam metodyki obliczania administracyjnych kar pieniężnych jest „określenie operacji przetwarzania w danej sprawie i ocena zastosowania art. 83 ust. 3 RODO” (zob. ust. 17 Wytycznych 04/2022). Rozwijając tę wskazówkę w ust. 24 swoich wytycznych EROD zaleca w pierwszej kolejności ustalić:
a) czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze;
b) w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń;
c) w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle.

Wykładnię pojęcia „jedno zachowanie” zawiera natomiast – w nawiązaniu do art. 83. ust. 3 rozporządzenia 2016/679, w którym mowa jest o „tych samych lub powiązanych operacjach przetwarzania” – ust. 28 Wytycznych 04/2022. Zgodnie z nim „[t]ermin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać je za jedno spójne zachowanie”.

Odnosząc przedstawione wyżej przepisy rozporządzenia 2016/679 oraz wskazówki zawarte w Wytycznych 04/2022 do okoliczności niniejszej sprawy Prezes UODO stwierdził co następuje.

1. Prezes UODO uznał, że rozpatrywane w niniejszej sprawie działania Centrum Medycznego związane z wdrożeniem doraźnego monitoringu wizyjnego na dwóch salach Oddziału (…) niezgodnie z obowiązującymi przepisami (stanowiące naruszenie art. 6 ust. 1 oraz art. 9 ust. 1 rozporządzenia 2016/679), a także niespełnienie obowiązku informacyjnego względem osób, których dane osobowe objęte zostały przedmiotową rejestracją (stanowiące naruszenie art. 13 ust. 1 i 2 rozporządzenia 2016/679) stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD. Oba te działania Placówki (stanowiące jednocześnie naruszenie art. 5 ust. 1 lit. a) oraz art. 5 ust. 2 rozporządzenia 2016/679) są w ocenie Prezesa UODO efektem jednego aktu woli Administratora, który zdecydował o wdrożeniu czasowego, i w założeniu nieujawnianego osobom, których dane dotyczą, procesu przetwarzania ich danych osobowych za pomocą monitoringu wizyjnego oraz niezrealizowaniu obowiązku informacyjnego wobec tych osób. Na to, że wskazane powyżej operacje przetwarzania stanowiące przedmiot rozpatrywanych naruszeń przepisów rozporządzenia 2016/679 (art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2), są powiązanymi operacjami przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia 2016/679, wskazuje – poza objęciem ich jednym aktem woli Centrum Medycznego – również wspólny kontekst tego przetwarzania. Łączy te operacje przetwarzania w ocenie Prezesa UODO:
a) cel przetwarzania – było nim wyeliminowanie przyczyn i zapobieżenie na przyszłość zwiększeniu liczby objawów zakażeń wśród noworodków hospitalizowanych na salach Oddziału (…);
b) charakter przetwarzania – zastosowany na salach Oddziału (…) monitoring miał z założenia przyjętego przez Centrum Medyczne charakter niejawny (świadczą o tym: zastosowane urządzenia, to jest zegary z funkcją rejestracji obrazu, oraz niespełnienie obowiązku poinformowania o wprowadzeniu monitoringu na ww. obszarze); niespełnienie wobec osób, których dane przetwarzano w ten sposób, obowiązku informacyjnego było naturalną i logiczną konsekwencją niejawnego charakteru ocenianego w niniejszej sprawie przetwarzania;
c) poziom ryzyka przetwarzania – zwiększony – w stosunku do innych procesów przetwarzania przez Centrum Medyczne danych osobowych jego pacjentów, osób odwiedzających pacjentów, pracowników, itp. – poziom ryzyka omawianego procesu przetwarzania wynika z faktu nieobjęcia go technicznymi i organizacyjnymi środkami bezpieczeństwa stosowanymi standardowo przez Centrum Medyczne do innych operacji przetwarzania danych (w szczególności monitorowanie, utrwalanie i przenoszenie danych osobowych pochodzących z niejawnego monitoringu odbywało się poza systemami informatycznymi i procedurami przeznaczonymi – i w związku z tym właściwie zabezpieczonymi – do tego rodzaju działań przeprowadzanych na danych osobowych pochodzących z „jawnego” monitoringu prowadzonego w innych pomieszczeniach i częściach Centrum Medycznego);
d) tożsamość osób, których dane dotyczą – procesy przetwarzania objęte wszystkimi naruszeniami odnoszącymi się do zachowania Centrum Medycznego polegającego na stosowaniu niejawnego monitoringu (art. 6 ust. 1, art. 9 ust. 1 oraz art. 13 ust. 1 i 2 rozporządzenia 2016/679) dotyczą danych osobowych tej samej, ściśle określonej grupy osób – pacjentów, ich rodzin, osób odwiedzających oraz personelu Placówki przebywających w konkretnych dwóch salach Oddziału (…);
e) kontekst czasowy przetwarzania – czas trwania bezprawnego przetwarzania danych osobowych za pomocą niejawnego monitoringu, a więc i czas trwania wszystkich stwierdzonych w odniesieniu do tego przetwarzania naruszeń, jest ten sam i jest ściśle określony – jest to okres od 1 do 23 lipca 2023 roku.

Stwierdziwszy więc, że: po pierwsze, działania Centrum Medycznego polegające na wdrożeniu oraz dopuszczeniu do funkcjonowania doraźnego i niejawnego monitoringu wizyjnego oraz na niespełnienie obowiązku informacyjnego wobec osób objętych tym monitoringiem stanowią jedno spójne zachowanie (co wynika z objęcia ich jednym aktem woli oraz kontekstu przetwarzania objętego tym aktem woli), po drugie zaś, zachowanie to narusza kilka przepisów rozporządzenia 2016/679 (art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2, a także – w konsekwencji – art. 5 ust. 1 lit. a) oraz art. 5 ust. 2), stwierdzić należy w dalszej kolejności, że żadne z tych stwierdzonych naruszeń nie wyklucza – w ocenie Prezesa UODO – przypisania Centrum Medycznemu innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania (w niniejszej sprawie – art. 5 ust. 1 lit. a) i art. 5 ust. 2 rozporządzenia 2016/679) nie wyklucza przypisania administratorowi (i nałożenia za to sankcji finansowej) naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad (art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 rozporządzenia 2016/679). Powyższe pozwala więc przypisać Centrum Medycznemu wymienione powyżej naruszenia „równolegle” – żadne z nich nie wyklucza przypisania Centrum Medycznemu pozostałych z nich. W takiej sytuacji znajdzie zastosowanie w stosunku do wszystkich wskazanych powyżej naruszeń przepis art. 83 ust. 3 rozporządzenia 2016/679.

2. Działania (zaniechania) Centrum Medycznego prowadzące do naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 i – w konsekwencji – art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 stanowią „jedno spójne zachowanie” w rozumieniu przedstawionym przez EROD w ust. 28 Wytycznych 04/2022 i – jednocześnie – nie stanowią takiego jednego zachowania z rozpatrywanymi powyżej jego działaniami prowadzącymi do naruszenia art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 (oraz art. 5 ust. 1 lit. a) i art. 5 ust. 2) rozporządzenia 2016/679. Świadczą o tym następujące okoliczności:
a) Naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 oraz – w konsekwencji – art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 nie były (w przeciwieństwie do rozpatrywanego powyżej jego zachowania związanego z wdrożeniem niejawnego monitoringu) efektem konkretnego aktu woli, jednej decyzji Centrum Medycznego. Ich źródłem było nieumyślne zaniechanie podjęcia działań wdrażających i egzekwujących stosowanie środków ochrony danych osobowych przechowywanych na zewnętrznych nośnikach danych (w szczególności na kartach pamięci stosowanych w kamerach monitoringu wizyjnego). Zaniechanie to dokonane już na etapie określania sposobów przetwarzania – czego wyrazem była nieprawidłowa analiza ryzyka związanego ze stosowanymi w Placówce procesami przetwarzania (i stanowiącym już wtedy naruszenie art. 25 ust. 1 rozporządzenia 2016/679) – było kontynuowane już w trakcie samego przetwarzania (prowadząc dodatkowo do stanu naruszenia przepisów art. 24 ust. 1 i art. 32 ust. 1 i 2 rozporządzenia). Był to proces ciągły spowodowany nie tyle jednym aktem woli, ile brakiem jednej, konkretnej decyzji Centrum Medycznego, która mogłaby zapobiec naruszeniom wszystkich rozpatrywanych tutaj przepisów – art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 i – w konsekwencji – art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679.
b) Jak wskazano wyżej, zachowanie Centrum Medycznego prowadzące do naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 i – w konsekwencji – art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679, to stan ciągły i długotrwały. Natomiast jego zachowanie związane ze stosowaniem niejawnego monitoringu wizyjnego (skutkujące naruszeniem art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 i – w konsekwencji – art. 5 ust. 1 lit. a) oraz art. 5 ust. 2 rozporządzenia 2016/679) było działaniem doraźnym, krótkotrwałym, w założeniu jednorazowym i ograniczonym czasowo. Tak różny kontekst czasowy obu zachowań (skutkujących naruszeniami obu grup przepisów rozporządzenia 2016/679) nie pozwala przyjąć, że jest to jedno spójne zachowanie Centrum Medycznego.
c) Cel i charakter przetwarzania, w związku z którym zaistniały naruszenia przepisów art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 i – w konsekwencji – art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679, były w przypadku wszystkich tych naruszeń te same. Naruszenia powyższe stwierdzone zostały w związku z przetwarzaniem danych osobowych zarejestrowanych w formie elektronicznej na przenośnych nośnikach danych, a przetwarzanie to miało na celu przechowywanie danych osobowych na zewnętrznych nośnikach, ewentualnie ich przenoszenie między innymi urządzeniami elektronicznymi (komputerami, kamerami, serwerami, itp.). Tak określony cel przetwarzania odróżnia to zachowanie od zachowania związanego ze stosowaniem niejawnego monitoringu wizyjnego, którego celem było użycie danych osobowych pochodzących z nagrań wizualnych do celów zwiększenia poziomu opieki medycznej w Placówce.
d) Procesy przetwarzania stanowiące przedmiot obu zachowań Centrum Medycznego (prowadzących do naruszeń obu grup przepisów rozporządzenia 2016/679) dotyczyły danych osobowych różnych grup osób. Jak wskazano wyżej przetwarzanie związane z niejawnym monitoringiem wizyjnym naruszyło ochronę danych osobowych konkretnej, określonej i stosunkowo niewielkiej liczby osób, które przebywały w dwóch salach objętych tym monitoringiem. Natomiast przetwarzanie danych osobowych na niezabezpieczonych przenośnych nośnikach danych mogło zagrażać ochronie danych osobowych wszystkich osób, których dane znajdowały się w posiadaniu Centrum Medycznego, i które mogły być w ten sposób przetwarzane (dane wszystkich pacjentów, wszystkich pracowników, wszystkich osób, których wizerunki pozyskano za pomocą monitoringu wizyjnego, w tym monitoringu zgodnego z przepisami rozporządzenia 2016/679, itp.). Co więcej zagrożenie to dotyczyło danych wszystkich tych osób w pełnym zakresie posiadanych przez Centrum Medyczne danych.

Stwierdziwszy więc, że: po pierwsze, zaniechania Centrum Medycznego polegające na niezastosowaniu (zarówno w fazie projektowania jak i w trakcie przetwarzania) odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych stanowią jedno spójne zachowanie, po drugie zaś, zachowanie to narusza kilka przepisów rozporządzenia 2016/679 (art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2, a także w konsekwencji art. 5 ust. 1 lit. f) oraz art. 5 ust. 2), stwierdzić należy w dalszej kolejności, że żadne z tych stwierdzonych naruszeń nie wyklucza – w ocenie Prezesa UODO – przypisania Centrum Medycznemu innego z nich. W szczególności stwierdzenie naruszenia przepisów określających podstawowe, ogólne zasady przetwarzania (w niniejszej sprawie – art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679) nie wyklucza przypisania administratorowi (i nałożenia za to sankcji finansowej) naruszenia przepisów szczegółowych stanowiących konkretyzację tych zasad (art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, przy czym administracyjna kara pieniężna nie jest nakładana za naruszenie przepisu art. 24 ust. 1, w związku z tym, że nie jest on wymieniony w art. 83 ust. 4-6 rozporządzenia 2016/679). Powyższe pozwala więc przypisać Centrum Medycznemu wymienione powyżej naruszenia „równolegle” – żadne z nich nie wyklucza przypisania Centrum Medycznemu pozostałych z nich. W takiej sytuacji znajdzie zastosowanie w stosunku do wszystkich wskazanych powyżej naruszeń przepis art. 83 ust. 3 rozporządzenia 2016/679.

3. W związku z tym, że ukaraniu w niniejszej sprawie podlegają dwa odrębne zachowania Centrum Medycznego (nie dotyczące tych samych lub powiązanych operacji przetwarzania) przepis art. 83 ust. 3 rozporządzenia 2016/679 nie będzie miał natomiast zastosowania do zbiegu obu grup naruszeń przepisów rozporządzenia 2016/679. W konsekwencji suma obu kar nałożonych za naruszenie obu grup przepisów rozporządzenia 2016/679 mogłaby przekroczyć wysokość kary (maksymalne zagrożenie) za jedno z nich (naruszenia obu grup przepisów są jednakowo poważne w związku z tym, że znajdują się wśród nich takie, które zagrożone są karą „poważniejszą” – do 20 000 000 EUR lub do 4 % całkowitego światowego rocznego obrotu). W tym miejscu wskazać należy, że jedyną przyczyną, dla której naruszenia art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 (oraz art. 5 ust. 1 lit. a) i art. 5 ust. 2) rozporządzenia 2016/679 rozpatrywane są – obok naruszeń art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 (oraz art. 5 ust. 1 lit. f) i art. 5 ust. 2) rozporządzenia 2016/679 – w jednym postępowaniu (i oceniane w jednej decyzji Prezesa UODO) jest okoliczność ich stwierdzenia w trakcie postępowania w przedmiocie zgłoszenia naruszenia ochrony danych polegającego na zagubieniu bądź kradzieży kart pamięci z urządzeń monitoringu wizyjnego. Naruszenia te nie dotyczą tych samych ani powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 RODO; rozpatrywane są w ramach jednej decyzji ponieważ przypadkowo zwróciły one uwagę Prezesa UODO w tym samym czasie, w ramach toczącego się już postępowania. Nie byłoby przeszkód by – w związku z tym, że rozpatrywane są odrębne zachowania Centrum Medycznego – objąć je odrębnymi postępowaniami i osobnymi decyzjami nakładającymi sankcje za stwierdzone naruszenia. Jak stanowią Wytyczne 04/2022 taka sytuacja wyklucza zastosowanie wynikającego z art. 83 ust. 3 rozporządzenia 2016/679 ograniczenia całkowitej wysokości orzekanej administracyjnej kary pieniężnej do (maksymalnej) wysokości kary za najpoważniejsze naruszenie (zob. ust. 45 Wytycznych 04/2022).

4. Podsumowując powyższe:
a) Prezes UODO stwierdził w niniejszej sprawie dokonanie przez Centrum Medyczne – jednym zachowaniem (opisanym w pkt 1 powyżej) – naruszenia kilku przepisów rozporządzenia 2016/679 (art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 oraz – w konsekwencji – art. 5 ust. 1 lit. a) i art. 5 ust. 2 rozporządzenia 2016/679). W stosunku do wszystkich tych naruszeń zastosowany został przepis art. 83 ust. 3 rozporządzenia 2016/679, przy czym – w związku z tym, że wszystkie naruszenia zagrożone są (in abstracto) taką samą karą wynikającą z art. 83 ust. 5 rozporządzenia 2016/679 (do 20 000 000 EUR lub do 4 % rocznego obrotu) – wszystkim tym naruszeniom należy przypisać taką samą powagę. Konsekwencją tego jest zaś niemożność orzeczenia – za wymienione powyżej naruszenia – kary o wysokości wyższej niż maksymalna wysokość kary za jedno z nich (20 000 000 EUR – ze względu na konieczność przyjęcia w odniesieniu do Placówki tzw. „statycznego maksimum kary” – zob. pkt 5 na str. 40 uzasadnienia niniejszej decyzji).
b) Odrębnym zachowaniem (opisanym w pkt 2 powyżej) Centrum Medyczne naruszyło kolejne przepisy rozporządzenia 2016/679 (art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 oraz – w konsekwencji – art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679). Ze względu na tę odrębność zachowania Administratora Prezes UODO nie rozpatrywał ich łącznie z poprzednimi naruszeniami i wymierzył za nie odrębnie administracyjną karę pieniężną. Należy przy tym zaznaczyć, że w przypadku naruszenia przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 zastosowanie ma kara wynikająca z art. 83 ust. 4 rozporządzenia 2016/679 (do 10 000 000 EUR lub 2% rocznego obrotu). Jednakże naruszenia ww. przepisów skutkują następczo naruszeniem zasad integralności i poufności, a także rozliczności wyrażonych kolejno w art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które to naruszenia zagrożone są już karą określoną w art. 83 ust. 5 rozporządzenia 2016/679 (do 20 000 000 EUR lub 4 % rocznego obrotu). Konsekwencją tego jest zaś niemożność orzeczenia – za wszystkie wymienione powyżej naruszenia – kary o wysokości wyższej niż maksymalna wysokość kary za naruszenie najpoważniejsze (to jest za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 zagrożone karą w wysokości do 20 000 000 EUR – ze względu na konieczność przyjęcia w odniesieniu do Placówki tzw. „statycznego maksimum kary” – zob. pkt 5 na str. 49 uzasadnienia niniejszej decyzji).

B. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej za naruszenie przepisów art. 6 ust. 1, art. 9 ust. 1 oraz art. 13 ust. 1 i 2 rozporządzenia 2016/679, co skutkowało naruszeniem art. 5 ust. 1 lit. a), a w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679.

Administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 5 ust. 1 lit. a), art. 5 ust. 2, art. 6 ust. 1, art. 9 ust. 1 oraz art. 13 ust. 1 i 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) i b) tego rozporządzenia.

Jednocześnie administracyjna kara pieniężna w wysokości 687 534,75 zł (słownie: sześćset osiemdziesiąt siedem tysięcy pięćset trzydzieści cztery złote i 75/100),nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. a) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Decydując o nałożeniu administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

W niniejszej sprawie brak jest dowodów wskazujących na to, że osoby (pacjenci, pracownicy Placówki), których dane zarejestrowane zostały przez urządzenia monitoringu wizyjnego zamontowane w 2 salach Oddziału (…), doznali szkody majątkowej, niemniej samo nieprawidłowe przetwarzanie ich danych osobowych oraz bez poinformowania ich o tym stanowi dla nich szkodę niemajątkową (krzywdę), np. poprzez naruszenie ich dóbr osobistych, takich jak dobrostan psychiczny, czy prawo do prywatności, itp. Podkreślić również należy, że przedmiotowe działanie Administratora stanowiło także rażące naruszenie intymności i godności pacjentów z uwagi na ukryty charakter tego monitoringu.

Zgodnie z informacjami przekazanymi przez Administratora w prowadzonej korespondencji, doraźny monitoring wizyjny na Oddziale (…) funkcjonował w okresie od 1 do 23 lipca 2023 roku (równocześnie jest to stan naruszenia przepisów rozporządzenia 2016/679) – rejestrując tym samym wizerunek 190 osób, w tym 30 pacjentów, 60 przedstawicieli ustawowych pacjentów, 97 osób z personelu oraz 3 studentów odbywających praktyki (zgodnie z informacjami wskazanymi w uzupełniającym formularzu zgłoszenia naruszenia ochrony danych osobowych).

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (przyjętymi 24 maja 2023 roku, wersja 2.1.), „(…) »umyślność« obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego (…)” (s. 20 pkt 55). Prowadzone postępowanie wyjaśniające i pozyskane w jego trakcie wyjaśnienia oraz dowody potwierdzają, że Administrator wdrażając doraźny monitoring wizyjny nie zastosował się do własnych obowiązujących procedur związanych z funkcjonowaniem dotychczasowego monitoringu prowadzonego w Placówce, czego miał pełną wiedzę i świadomość. Powyższe stanowisko potwierdził również sam Administrator w piśmie z 12 lutego 2024 roku cyt. (…) „Zdajemy sobie sprawę z niedoskonałości zastosowanego sposobu doraźnego monitoringu”. Jednocześnie przypomnieć należy, że zamontowany na 2 salach Oddziału (…) monitoring wizyjny z założenia miał mieć formę monitoringu ukrytego, tj. pracownicy, pacjenci oraz osoby odwiedzające mieli nie dowiedzieć się o wprowadzeniu monitoringu. Administrator pomimo świadomości co do obowiązującego prawa oraz wdrożonych procedur dotyczących monitoringu wizyjnego na terenie placówki, celowo nie umieścił w nich regulacji dotyczących montażu dodatkowych kamer na ww. obszarze – co dodatkowo przemawia za przyjęciem umyślności działania. Wobec powyższego bezapelacyjnie należy uznać, że analizowane naruszenie przepisów rozporządzenia 2016/679 było celowym działaniem Centrum Medycznego.

3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe objęte doraźnym monitoringiem wizyjnym zamontowanym na 2 salach Oddziału (…) stanowiły wizerunki pacjentów, gości pacjentów oraz personelu niniejszej placówki medycznej. Stwierdzić należy, że specyfika obszaru, w którym znajdowały się zamontowane urządzenia rejestrujące obraz wiąże się z wieloma intymnymi sytuacjami związanymi z czasem poporodowym pacjentek i ich nowonarodzonych dzieci. Powyższe oznacza, że dane osobowe przetwarzane w ramach monitoringu stanowią także dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679 (tj. dane o stanie zdrowia). Nakłada to na administratorów tych danych obowiązek szczególnego traktowania tych informacji, także z uwagi na możliwe negatywne konsekwencje dla osób, których te dane dotyczą, w przypadku ich ujawnienia osobom nieuprawnionym, włącznie z ich dyskryminacją czy też utratą dobrego imienia.

W tym kontekście należy powołać Wytyczne 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (…)” (s. 21 pkt 57).

4. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Organ nadzorczy powziął informację o potencjalnym naruszeniu przepisów o ochronie danych osobowych 3 sierpnia 2023 r., po publikacji artykułu na stronie internetowej serwisu (…) dotyczącego praktyk Centrum Medycznego w związku ze stosowanym przez ten podmiot systemem monitoringu w 2 salach Oddziału (…), a nie bezpośrednio od Administratora. W związku z faktem, że Prezes UODO uzyskał wiedzę na temat możliwości prowadzenia przez Placówkę działań niezgodnych z obowiązującymi przepisami prawa, w tym przepisami rozporządzenia 2016/679 z doniesień medialnych to, w ocenie organu nadzorczego, niniejszą okoliczność można traktować, jako wpływającą obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie znalazł podstaw do uwzględnienia żadnych okoliczności łagodzących mogących mieć wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec X. z siedzibą w K.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
W kontekście przedmiotowej przesłanki znaczenie ma cel, jakiemu ma służyć działanie Administratora, czyli zminimalizowanie szkody poniesionej przez osoby, których dane objęte były doraźnym monitoringiem wizyjnym na 2 salach Oddziału (…). Prezes UODO nie odnotował w niniejszym przypadku tego typu działań Administratora. Wobec zaprezentowanego stanu faktycznego niniejszą okoliczność należy skategoryzować jako neutralną.

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Niniejsza administracyjna kara pieniężna została nałożona na Administratora za naruszenie przepisów art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (zasada zgodności z prawem, rzetelności i przejrzystości), art. 5 ust. 2 rozporządzenia 2016/679 (zasada rozliczalności) w związku z art. 6 ust. 1, art. 9 ust. 1 oraz art. 13 ust. 1 i 2 rozporządzenia 2016/679. Kwestia zasad bezpieczeństwa przetwarzanych danych osobowych i zastosowanych przez Administratora środków technicznych i organizacyjnych nie była przedmiotem analizy w tym zakresie.

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Centrum Medycznego jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku, z czym brak jest podstaw do traktowania tej okoliczności jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.

4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
Prezes UODO pragnie zaznaczyć, że w momencie wszczęcia postępowania wyjaśniającego (które zostało zainicjowane pismem organu nadzorczego z dnia 7 sierpnia 2023 roku) Administrator sam zaprzestał już prowadzenia doraźnego monitoringu wizyjnego na 2 salach Oddziału (…), a tym samym naruszenia przepisów rozporządzenia 2016/679. W związku z powyższym, usunięcie naruszenia nastąpiło bez wcześniejszego działania organu, co za tym idzie brak jest możliwości dokonania oceny jego stopnia współpracy z Administratorem. Tak zaprezentowany stan faktyczny nie możne stanowić obciążającej, ani łagodzącej okoliczności przy wymierzaniu sankcji.

5. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku, z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

6. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
X. z siedzibą w K. nie stosuje zatwierdzonych mechanizmów certyfikacji, o których mowa w art. 42 rozporządzenia 2016/679. Ponadto, Placówka w toku postępowania nie poinformowała organu nadzorczego, czy stosuje zatwierdzone kodeksy postępowania, o którym mowa w art. 40 rozporządzenia 2016/679. Pokreślenia wymaga, że wdrożenie i stosowanie ich nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych

7. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest, więc podstaw do traktowania tej okoliczności, jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

8. Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:

1. Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (patrz Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Centrum Medyczne przepisów rozporządzenia 2016/679 znajduje się przepis art. 5 ust. 1 lit. a) rozporządzenia 2016/679 określający podstawowe zasady przetwarzania. Naruszenie tego przepisu należy – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one, więc poważniejsze od innych (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.

2. Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenie (w szczególności naruszenie podstawowych zasad przetwarzania), jako naruszenia o wysokim poziomie powagi (patrz Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonego w niniejszej sprawie naruszenia traktowanego w całości prowadzi do wniosku, że poziom jego powagi (rozumianej zgodnie z Wytycznymi 04/2022) jest wysoki. Konsekwencją tego jest zaś przyjęcie, – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 20 % do 100 % maksymalnej wysokości kary możliwej do orzeczenia wobec Centrum Medycznego, to jest – zważywszy na limit określony w art. 83 ust. 5 rozporządzenia 2016/679 – od kwoty 4 000 000 EUR do kwoty 20 000 000 EUR (patrz Podrozdział 4.2.4 Wytycznych 04/2022). Za adekwatną, uzasadnioną okolicznościami niniejszej sprawy, kwotę wyjściową Prezes UODO uznał kwotę 10 000 000, 00 EUR (równowartość 43 653 000 zł).

3. Prezes UODO dostosował kwotę wyjściową odpowiadającą wysokiej powadze stwierdzonego naruszenia do obrotu Centrum Medycznego, jako miernika jego wielkości siły gospodarczej (patrz Rozdział 4.3 Wytycznych 04/2022).Zgodnie z Wytycznymi 04/2022, w przypadku przedsiębiorstw, których roczny obrót wynosi 10-50 mln EUR, organ nadzorczy może rozważyć dokonanie dalszych obliczeń wysokości kary na podstawie wartości mieszczącej się w przedziale od 1,5 % do 10 % kwoty wyjściowej. Zważywszy, że obrót Centrum Medycznego w 2023 wyniósł (…) zł, to jest (…) EUR (wg. średniego kursu z dnia 29 stycznia 2024 r.), Prezes UODO za stosowne uznał skorygowanie podlegającej obliczeniom kwoty kary do wartości odpowiadającej 3 % kwoty wyjściowej, to jest kwoty 300 000,00 EUR (równowartość 1 309 590,00 zł).

4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (patrz Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przestawione zostały powyżej. Prezes UODO mając na względzie wysoką powagę naruszenia uznał, że okolicznością obciążającą w niniejszej sprawie jest sposób w jaki organ dowiedział się o naruszeniu (art. 83 ust. 2 lit. h) rozporządzenia 2016/679). Organ nadzorczy przeprowadzając analizę w niniejszej sprawie nie uwzględnił żadnej okoliczności łagodzącej, mającej wpływ na obniżenie wymiaru sankcji. Pozostałe przesłanki (z art. 83 ust. 2 lit. c, d), e), f), i), k)) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie w sprawie okoliczności obciążającej zasadnym jest, więc dokonanie korekty kwoty kary ustalonej z uwzględnieniem obrotu Centrum Medycznego (pkt 3 powyżej); adekwatnym do wpływu tych przesłanek na ocenę naruszenia jest w ocenie Prezesa UODO jej zwiększenie o 5 % – do kwoty 315 000,00 EUR (równowartość 1 375 069,50 zł).

5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (patrz Rozdział 6 Wytycznych 04/2022). Jak wskazano powyżej najpoważniejszym naruszeniem jest w niniejszej sprawie naruszenie art. 5 ust. 1 lit. a), zagrożone administracyjna karą pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Prezes UODO ustalił, że „dynamiczna kwota maksymalna” dla tego naruszenia i dla tego sprawcy naruszenia wyrażona w procencie (4 %) jego obrotu wyniosłaby (…) EUR, w związku, z czym zastosować należy w niniejszej sprawie, – jako wyższą – „statyczną kwotę maksymalną” wynoszącą dla rozpatrywanego naruszenia 20 000 000 EUR. Wskazana powyżej kwota 315 000,00 EUR w sposób oczywisty nie przekracza kwoty 20 000 000 EUR.

6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (patrz Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna stanowiąca równowartość 315 000,00 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Centrum Medyczne, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga, bowiem m. in., by przyjęte przez organ nadzorczy środki nie wykraczałyby poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (patrz pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając, więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do 50 % kwoty uzyskanej po uwzględnieniu okoliczności obciążających (patrz pkt 4 powyżej), to jest do kwoty 157 500,00 EUR (równowartość 687 534,75 zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta, bowiem stanowi próg, powyżej którego dalsze zwiększenie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej strony natomiast obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

C. Uzasadnienie nałożenia i ustalenia wysokości administracyjnej kary pieniężnej za naruszenie przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, co skutkowało naruszeniem art. 5 ust. 1 lit. f), a w konsekwencji art. 5 ust. 2 rozporządzenia 2016/679.

Administracyjna kara pieniężna wobec Administratora nałożona została za naruszenie art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 na podstawie przytoczonego wyżej art. 83 ust. 4 lit. a) rozporządzenia 2016/679, natomiast za naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679 – na podstawie art. 83 ust. 5 lit. a) tego rozporządzenia.

Jednocześnie administracyjna kara pieniężna w wysokości 458 356,50 zł (słownie: czterysta pięćdziesiąt osiem tysięcy trzysta pięćdziesiąt sześć złotych i 50/100), nałożona na Administratora łącznie za naruszenie wszystkich powyższych przepisów – stosownie do przepisu art. 83 ust. 3 rozporządzenia 2016/679 – nie przekracza wysokości kary za najpoważniejsze stwierdzone w niniejszej sprawie naruszenie, tj. naruszenie art. 5 ust. 1 lit. f) i art. 5 ust. 2 rozporządzenia 2016/679, które stosownie do art. 83 ust. 5 lit. a) rozporządzenia 2016/679 podlega administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie przepisów ochrony danych osobowych, którego skutkiem była (i jest nadal) możliwość uzyskania nieuprawnionego dostępu do danych znajdujących się na niezabezpieczonych zewnętrznych nośnikach danych (tj. kartach pamięci) przez osobę bądź osoby nieuprawnione (naruszenie zasady poufności), ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą. Naruszenie przez Centrum Medyczne obowiązków zastosowania środków zabezpieczających przetwarzane dane przed ich udostępnieniem osobom nieuprawnionym pociąga za sobą nie tylko potencjalną, ale również realną możliwość wykorzystania tych danych przez podmioty trzecie bez wiedzy i wbrew woli osoby, której dane dotyczą, niezgodnie z przepisami rozporządzenia 2016/679. Ponadto, do chwili wydania niniejszej decyzji zagubione bądź skradzione zewnętrzne nośniki danych nie zostały odnalezione, więc w dalszym ciągu osoba lub osoby nieuprawnione mogą mieć dostęp do danych osobowych znajdujących się na tym nośniku. Naruszenie przepisów oraz zasad dotyczących ochrony danych osobowych w związku z ich przetwarzaniem przez Placówkę w ramach prowadzonej przez nią działalności gospodarczej w zakresie usług medycznych bez wdrożenia adekwatnych środków technicznych i organizacyjnych (naruszenie art. 32 ust. 1 i ust. 2 rozporządzenia 2016/679) ma znaczną wagę także z uwagi na znaczną skalę przetwarzania danych przez Placówkę oraz rodzaj wykonywanej przez nią działalności, a przez to także zakres przetwarzanych danych (dane szczególnych kategorii, w tym m.in. dane dotyczące zdrowia). Należy raz jeszcze podnieść, że Centrum Medyczne świadczy na terenie Polski usługi lecznicze, m.in. z zakresu (…). Fakt ten determinuje zakres przetwarzanych przez nią danych, których ujawnienie może wyrządzać szczególne szkody osobom, których one dotyczą. Zauważyć też należy, że dane przetwarzane przez Administratora stanowią tajemnicę lekarską, co także ma wpływ na konieczność przyjęcia znacznego charakteru i wagi naruszenia.

Ponadto, stwierdzone w toku postępowania wyjaśniającego, a następnie w rezultacie postępowania administracyjnego, naruszenia przepisów rozporządzenia 2016/679 wiązały się w konsekwencji z naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679), tj. obowiązku przetwarzania w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych pracowników, pacjentów oraz osób ich odwiedzających, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych, a także zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679), przez co miały one znaczną wagę i poważny charakter z uwagi na fakt, iż wszystkie wyżej wymienione organizacyjne i techniczne środki mają podstawowe znaczenie dla zapewnienia bezpieczeństwa przetwarzania danych pod względem technicznym i organizacyjnym.

W niniejszej sprawie brak jest dowodów wskazujących na to, że osoby (pacjenci, osoby ich odwiedzające oraz pracownicy Spółki), do których danych uzyskały dostęp osoby trzecie, doznali szkody majątkowej, niemniej samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę), np. poprzez naruszenie ich dóbr osobistych, takich jak dobrostan psychiczny, prawo do prywatności, itp. Osoby fizyczne, których dane pozyskano w sposób nieuprawniony w wyniku naruszenia ochrony danych osobowych, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją (dane dotyczące zdrowia) czy wreszcie – stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z 6 sierpnia 2020 r. sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w/s Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.

Podkreślić również należy, że Administrator przeprowadził w sposób nieprawidłowy, jak wykazano wyżej, analizę ryzyka, w efekcie, czego nie zastosował odpowiednich środków bezpieczeństwa w celu zapewnienia ochrony danym osobowym przetwarzanym przy użyciu zewnętrznych nośników danych (tj. karty pamięci). Czas trwania naruszenia przepisów rozporządzenia 2016/679 obejmował okres funkcjonowania doraźnego monitoringu wizyjnego na 2 salach Oddziału (…), tj. od dnia 1 do dnia 23 lipca 2023 roku.

Organ przy analizie przedmiotowej sprawy uwzględnił fakt, że dane osobowe znajdujące się na utraconym nośniku danych dotyczyły 190 osób, w tym 30 pacjentów, 60 przedstawicieli ustawowych pacjentów, 97 osób z personelu oraz 3 studentów odbywających praktyki (zgodnie z deklaracją Administratora w uzupełniającym formularzu zgłoszenia naruszenia ochrony danych osobowych), jednakże podkreślić należy, że zgodnie z przyjętymi wytycznymi, mającymi na celu zharmonizowanie metodyki stosowanej przez organy nadzorcze przy obliczaniu wysokości kary pieniężnej, jest on zobowiązany ocenić przesłankę, o której mowa w art. 83 ust. 2 lit. a) rozporządzenia 2016/679, kompleksowo, tj. wziąć pod uwagę przy jej ocenie łącznie wagę, charakter i czas trwania naruszenia przepisów rozporządzenia 2016/679, charakter, zakres lub cel danego przetwarzania, liczbę poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody. Jak wynika z Wytycznych 04/2022 (rozdział 4.2.1. pkt iv), przy analizie wszystkich elementów składających się na naruszenie należy uwzględnić również liczbę osób, których dane dotyczą, na które naruszenie ma konkretny, ale także co istotne, potencjalny wpływ. Rozpatrując przedmiotową okoliczność Organ może uznać, że cyt. (…) „naruszenie ma charakter „systemowy” i w związku z tym może mieć wpływ, nawet w różnym czasie, na dodatkowe osoby, których dane dotyczą, które nie złożyły skarg lub zawiadomień do organu nadzorczego. Organ nadzorczy może, w zależności od okoliczności sprawy, wziąć pod uwagę stosunek liczby poszkodowanych osób, których dane dotyczą, do całkowitej liczby osób, których dane dotyczą w danym kontekście (np. liczby obywateli, klientów lub pracowników), aby ocenić, czy naruszenie ma charakter systemowy”. Biorąc pod uwagę powyższe wytyczne EROD, niezapewnienie przez Administratora odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, jako przyjęte działanie w organizacji mimo zidentyfikowanego tylko jednego przypadku naruszenia ochrony danych osobowych, potencjalnie mogło dotyczyć wszystkich pacjentów oraz pracowników, a więc mieć charakter systemowy (ww. osoby potencjalnie mogły być narażone na utratę poufności ich danych przetwarzanych na zewnętrznych nośnikach danych). Zasadnie zatem organ nadzorczy ocenił przedmiotową okoliczność jako obciążającą.

2. Nieumyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Utrata kontroli nad danymi osobowymi, osób, których dane znajdują się na zagubionych bądź skradzionych zewnętrznych nośnikach danych (tj. karty pamięci), stała się możliwa na skutek niedopełnienia przez Centrum Medyczne obowiązku zastosowania odpowiednich środków bezpieczeństwa w celu zapewnienia ochrony tym danym. W ocenie organu nadzorczego stanowi to o nieumyślnym charakterze naruszenia, wynikającym z niedbalstwa Administratora, który nie przeprowadził właściwie analizy ryzyka w obszarze objętym naruszeniem ochrony danych osobowych. W niniejszej sprawie Placówka powinna była mieć na względzie, że przyjęte rozwiązania nie zapewnią adekwatnego poziomu bezpieczeństwa danych osobowych, co prowadzić może do naruszenia przepisów o ochronie danych osobowych.

Biorąc pod uwagę ustalenia w sprawie będącej przedmiotem rozstrzygnięcia niniejszej decyzji należy stwierdzić, że Placówka nie działała umyślnie, niemniej jednak dopuściła się zaniedbania skutkującego znaczącym zwiększeniem ryzyka naruszenia dostępności i poufności przetwarzanych danych, co świadczy o rażącym niedbalstwie i stanowi istotną okoliczność wpływającą obciążająco na wysokość administracyjnej kary pieniężnej.

3. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe znajdujące się na zaginionych bądź skradzionych niezaszyfrowanych kartach pamięci stanowiły m.in. wizerunki pacjentów, gości pacjentów oraz personelu Oddziału (…) zarejestrowane przez urządzenia monitorujące w salach łóżkowych. Ponadto stwierdzić należy, że specyfika obszaru, w którym znajdowały się zamontowane urządzenia rejestrujące obraz (rejestracja obrazu w trakcie udzielania świadczeń zdrowotnych) wiązała się z wieloma intymnymi sytuacjami związanymi z czasem poporodowym pacjentek i ich nowonarodzonych dzieci. Powyższe oznacza, że dane osobowe znajdujące się na przedmiotowych kartach pamięci stanowiły także dane podlegające szczególnej ochronie na gruncie art. 9 ust. 1 rozporządzenia 2016/679, gdyż stanowią one dane o stanie zdrowia. Nakłada to na administratorów tych danych obowiązek szczególnego traktowania tych informacji, także z uwagi na możliwe negatywne konsekwencje dla osób, których te dane dotyczą, w przypadku ich ujawnienia osobom nieuprawnionym, włącznie z ich dyskryminacją czy też utratą dobrego imienia.

W tym kontekście warto przywołać Wytyczne 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) RODO), w RODO wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 RODO oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (…)”. (s. 21 pkt. 57).

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO nie znalazł podstaw do uwzględnienia żadnych okoliczności łagodzących mogących mieć wpływ na obniżenie ostatecznego wymiaru kary orzeczonej wobec X. z siedzibą w K.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej.

1. Działania podjęte w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit . c rozporządzenia 2016/679).
Administrator zgodnie z deklaracją wskazaną w sekcji 10 uzupełniającego zgłoszenia naruszenia poinformował, że 15 września 2023 roku zakończył proces zawiadamiania osób, których dane objęte były przedmiotowym naruszeniem (tj. zidentyfikowane osoby przebywające w pomieszczeniach objętych rejestracją nagrań na karty pamięci), tym samym w sposób prawidłowy wywiązując się z obowiązku nałożonego na administratora w art. 34 ust. 1 rozporządzenia 2016/679. Podkreślenia wymaga, że zwykłe dopełnienie przez Centrum Medyczne ww. obowiązaniu poinformowania podmiotów danych o wystąpieniu naruszenia ochrony danych osobowych nie może być interpretowane jako czynnik łagodzący i mających obniżający wpływ na wysokość nałożonej administracyjnej kary pieniężnej.

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Prezes UODO stwierdził w niniejszej sprawie naruszenie przez Centrum Medyczne przepisów art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679. W jego ocenie na administratorze ciąży w wysokim stopniu odpowiedzialność za niewdrożenie odpowiednich środków technicznych i organizacyjnych, które zapobiegłyby naruszeniu ochrony danych osobowych. Oczywistym jest, że w rozważanym kontekście charakteru, celu i zakresu przetwarzania danych osobowych Administrator nie „zrobił wszystkiego, czego można by było od niego oczekiwać”; nie wywiązał się tym samym z nałożonych na nią przepisami art. 25 i 32 rozporządzenia 2016/679 obowiązków. W niniejszej sprawie okoliczność ta stanowi jednak o istocie samego naruszenia; nie jest jedynie czynnikiem wpływającym – łagodząco lub obciążająco – na jego ocenę. Z tego też względu brak odpowiednich środków technicznych i organizacyjnych, o których mowa w art. 25 i art. 32 rozporządzenia 2016/679, nie może zostać przez Prezesa UODO uznany w niniejszej sprawie za okoliczność mogącą dodatkowo wpłynąć na surowszą ocenę naruszenia i wymiar nałożonej na Administratora administracyjnej kary pieniężnej.

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora (art. 83 ust. 2 lit. e) rozporządzenia 2016/679).
Prezes UODO nie stwierdził po stronie Centrum Medycznego jakichkolwiek wcześniejszych naruszeń przepisów o ochronie danych osobowych, w związku, z czym brak jest podstaw do traktowania tej okoliczności, jako obciążającej. Obowiązkiem każdego administratora jest przestrzeganie przepisów prawa, a zatem brak wcześniejszych naruszeń nie może być również okolicznością łagodzącą przy wymierzaniu sankcji.

4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679).
Prezes UODO nie dysponuje informacjami wskazującymi, że Administrator po zgłoszeniu przedmiotowego naruszenia ochrony danych osobowych i wszczęciu postępowania administracyjnego podjął działania, mające na celu złagodzenie jego negatywnych skutków. Administrator dokonał jedynie prawidłowego zawiadomienia osób, których dane osobowe zostały objęte przedmiotowym doraźnym monitoringiem na 2 salach Oddziału (…). Wobec braku innych dowodów wskazujących na realizację ww. czynności, organ nadzorczy nie może przyjąć analizowanej przesłanki jako łagodzącej.

5. Sposób, w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO stwierdził naruszenie przez Administratora przepisów o ochronie danych osobowych w wyniku wstępnego zgłoszenia naruszenia ochrony danych osobowych dokonanego przez Centrum Medyczne z 26 lipca 2023 roku, które następnie zostało uzupełnione 15 września 2023 roku. Administrator, dokonując zgłoszenia, realizował ciążący na nim obowiązek prawny, brak jest zatem podstaw do uznania, że fakt ten stanowi okoliczność łagodzącą. Jak wskazała EROD w Wytycznych 04/2022 (str. 32), „Zgodnie z art. 83 ust. 2 lit. h) RODO sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, może stanowić istotną okoliczność obciążającą albo łagodzącą. Przy ocenie tego aspektu szczególną wagę można przypisać kwestii, czy administrator lub podmiot przetwarzający powiadomił o naruszeniu organ nadzorczy z własnej inicjatywy, a jeśli tak, to w jakim zakresie, zanim organ nadzorczy został poinformowany o naruszeniu w drodze – na przykład – skargi lub postępowania. Okoliczność ta nie ma znaczenia, gdy administrator podlega szczególnym obowiązkom w zakresie zgłaszania naruszeń (np. obowiązkowi zgłaszania naruszenia ochrony danych osobowych określonemu w art. 33 RODO). W takich przypadkach fakt dokonania zgłoszenia należy uznać za okoliczność neutralną” (str. 31 pkt 98).

6. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował w wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku, z czym administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

7. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust. 2 lit. j rozporządzenia 2016/679).
X. z siedzibą w K. nie stosuje zatwierdzonych mechanizmów certyfikacji, o których mowa w art. 42 rozporządzenia 2016/679. Ponadto, Placówka w toku postępowania nie poinformowała organu nadzorczego o stosowaniu zatwierdzonych kodeksów postępowania, o których mowa w art. 40 rozporządzenia 2016/679. Pokreślenia wymaga, że wdrożenie i stosowanie ich nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

8. Wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest, więc podstaw do traktowania tej okoliczności, jako obciążającej administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

9. Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO wszechstronnie rozpatrując sprawę nie odnotował innych niż opisane powyżej okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.

1. Prezes UODO dokonał kategoryzacji stwierdzonego w niniejszej sprawie naruszenia przepisów rozporządzenia 2016/679 (patrz Rozdział 4.1 Wytycznych 04/2022). Wśród naruszonych przez Centrum Medyczne przepisów rozporządzenia 2016/679 znajdują się przepisy art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia 2016/679 określające podstawowe zasady przetwarzania. Naruszenie tych przepisów należy – zgodnie z art. 83 ust. 5 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą wyższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 20 000 000 EUR lub do 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Są one, więc in abstracto poważniejsze od innych (wskazanych w art. 83 ust. 4 rozporządzenia 2016/679) naruszeń.

4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (patrz Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przestawione zostały powyżej. Organ nadzorczy nie uwzględnił żadnej okoliczności zarówno obciążającej, jak i łagodzącej mającej wypływ na wysokość administracyjnej kary pieniężnej. Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), e), f), h), i), j), k)) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na brak zaistnienia w sprawie okoliczności obciążających, jak i łagodzących Prezes UODO nie dokonał korekty ustalonej kary, pozostawiając ją na poziomie kwoty 300 000,00 EUR (równowartość 1 309 590,00 zł).

5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (patrz Rozdział 6 Wytycznych 04/2022). Jak wskazano powyżej najpoważniejszym naruszeniem jest w niniejszej sprawie naruszenie art. 5 ust. 1 lit. f) oraz art. 5 ust. 2, zagrożone administracyjna karą pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Prezes UODO ustalił, że „dynamiczna kwota maksymalna” dla tego naruszenia i dla tego sprawcy naruszenia wyrażona w procencie (4 %) jego obrotu wyniosłaby (…) EUR, w związku, z czym zastosować należy w niniejszej sprawie – jako wyższą – „statyczną kwotę maksymalną” wynoszącą dla rozpatrywanego naruszenia 20 000 000 EUR. Wskazana powyżej kwota 300 000,00 EUR w sposób oczywisty nie przekracza kwoty 20 000 000 EUR.

6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (patrz Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna stanowiąca równowartość 300 000,00 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Centrum Medyczne, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną ze względu na swoją nadmierną dolegliwość. Zasada proporcjonalności wymaga, bowiem m. in., by przyjęte przez organ nadzorczy środki nie wykraczałyby poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (patrz pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając, więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary – do 35 % kwoty uzyskanej po uwzględnieniu okoliczności obciążających (patrz pkt 4 powyżej), to jest do kwoty 105 000,00 EUR (równowartość 458 356,50 zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta, bowiem stanowi próg, powyżej którego dalsze zwiększenie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej strony natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego stosowania i egzekwowania rozporządzenia 2016/679 i zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

W ocenie Prezesa UODO, zastosowane administracyjne kary pieniężne w łącznej wysokości 1 145 891,25 zł (słownie:jeden milion sto czterdzieści pięć tysięcy osiemset dziewięćdziesiąt jeden złotych i 25/100)za stwierdzone niniejszą decyzją naruszenia przepisów rozporządzenia 2016/679spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Zdaniem Prezesa UODO nałożone na Centrum Medyczne administracyjne kary pieniężne będą skuteczne, albowiem doprowadzą do stanu, w którym Placówka stosować się będzie do obowiązujących przepisów prawa i zaprzestanie na stałe naruszania przepisów o ochronie danych osobowych poprzez stosowane monitoringu wizyjnego w placówce (tj. w salach łóżkowych) bez podstawy prawnej. Skuteczność administracyjnych kar pieniężnych równoważna jest zatem gwarancji tego, iż Administrator od momentu zakończenia niniejszego postępowania będzie z najwyższą starannością podchodzić do wymogów stawianych przez przepisy o ochronie danych osobowych.

Zastosowane administracyjne kary pieniężne są również proporcjonalne do stwierdzonego naruszenia przepisów rozporządzenia 2016/679, w tym zwłaszcza jego wagi, skutku, liczby dotkniętych nim osób fizycznych oraz wysokiego ryzyka negatywnych konsekwencji, jakie w związku z tym naruszeniem te osoby ponoszą. Wysokość kar została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność jej uiszczenia pociągnie za sobą negatywne następstwa, w postaci istotnego pogorszenia sytuacji finansowej Administratora. Zdaniem Prezesa UODO, Centrum Medyczne powinno i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, stąd nałożenie administracyjnych kar pieniężnych jest w pełni uzasadnione.

W ocenie Prezesa UODO, zastosowane administracyjne kary pieniężne spełniają w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia przepisów rozporządzenia 2016/679 w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych.

Odnosząc się do wysokości wymierzonych Administratorowi administracyjnych kar pieniężnych, Prezes UODO uznał, że są one proporcjonalne do sytuacji finansowej Administratora i nie będą stanowiły dla niego nadmiernego obciążenia. Z przedłożonego przez Administratora w dniu 2 kwietnia 2024 roku sprawozdania finansowego wynika, że przychody netto ze sprzedaży na dzień kończący rok obrotowy 2023 wyniosły (…) zł, w związku z czym administracyjne kary pieniężne w niniejszej sprawie, nałożone w łącznej wysokości stanowią ok. (…) % ww. kwoty. Jednocześnie warto podkreślić, że łączna kwota nałożonych kar to jedynie 1,31 % maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 5 rozporządzenia 2016/679 statyczne maksimum kary (tj. 20.000.000,- euro) – nałożyć na Administratora za stwierdzone w niniejszej sprawie naruszenie przepisów rozporządzenia 2016/679.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjne kary pieniężne spełnią w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będą odpowiedź na naruszenie przez Centrum Medyczne przepisów rozporządzenia 2016/679, ale i prewencyjną, bowiem przyczynią się do zapobiegania w przyszłości naruszania przez Administratora obowiązków wynikających z przepisów o ochronie danych osobowych.

W ocenie Prezesa UODO, zastosowane administracyjne kary pieniężne spełniają w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, ze względu na wagę stwierdzonych naruszeń w kontekście podstawowych wymogów i zasad rozporządzenia 2016/679 – zwłaszcza zasady zgodności z prawem, rzetelności i przejrzystości wyrażonej art. 5 ust. 1 lit. a) rozporządzenia 2016/679 oraz zasady poufności i integralności, o której mowa w art. 5 ust. 1 lit. f) rozporządzenia 2016/679.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku, gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) i art. 83 ust. 5 lit. a) w związku z art. 83 ust. 3 rozporządzenia 2016/679 oraz w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za naruszenie:
- art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 rozporządzenia 2016/679, co skutkowało naruszeniem art. 5 ust. 1 lit. a), a konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679, nałożył na Centrum Medyczne – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR= 4,3653 PLN) – administracyjną karę pieniężną w kwocie 687 534,75 zł (co stanowi równowartość 157 500,00 EUR),
- art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, co skutkowało naruszeniem art. 5 ust. 1 lit. f), a w konsekwencji również art. 5 ust. 2 rozporządzenia 2016/679, nałożył na Centrum Medyczne – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR= 4,3653 PLN) – administracyjną karę pieniężną w kwocie 458 356,50 zł (co stanowi równowartość 105 000,00 EUR), tj. w łącznej kwocie 1 145 891,25 zł (co stanowi równowartość 262 500,00 EUR).

Celem nałożonych administracyjnych kar pieniężnych jest doprowadzenie do przestrzegania przez X. z siedzibą w K. w przyszłości przepisów rozporządzenia 2016/679, a w konsekwencji do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

[1] (…)

[2] M. Łokaj, Monitoring w podmiotach wykonujących działalność leczniczą, LEX/el. 2023.

[3] file:///C:/Users/65953/Downloads/Monitoring_wizyjny_RPP.pdf

[4] https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22001-204416%22]}.

[5] https://www.gov.pl/web/rpp/wystapienie-rzecznika-praw-pacjenta-do-ministra-zdrowia-14-05-2019.

[6] https://www.nik.gov.pl/kontrole/P/23/047/.

[7] https://uodo.gov.pl/data/filemanager_pl/1200.pdf.