Przepisy o monitoringu wizyjnym w placówkach medycznych trzeba doprecyzować

Prezes UODO Mirosław Wróblewski zwraca się z tym postulatem do ministry zdrowia Izabeli Leszczyny. Chodzi o zapewnienie skutecznej ochrony danych osobowym oraz o poszanowanie podstawowej wartości, jaką jest godność, prawa do prywatności - należnych pacjentom i innym osobom objętym takim monitoringiem.

Stosowanie monitoringu wizyjnego w placówkach leczniczych zostało uregulowane w art. 23a ustawy o działalności leczniczej. Kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:

• ogólnodostępnych za pomocą urządzeń rejestrujących obraz (monitoring), jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników (pkt 1),
• tych, w których są udzielane świadczenia zdrowotne oraz miejsca pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych (pkt 2).

Dodany nowelizacją ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta pkt 3 umożliwia:

• w przypadku szpitali, zakładów opiekuńczo-leczniczych, zakładów pielęgnacyjno-opiekuńczych, zakładów rehabilitacji leczniczej i hospicjów – istnieje możliwość stosowania monitoringu wizyjnego w każdym takim pomieszczeniu, jeżeli jest to konieczne w procesie leczenia pacjentów lub do zapewnienia im bezpieczeństwa. Przepis przewiduje dodatkowo konieczność spełnienia przesłanek dotyczących poszanowania intymności i godności pacjenta, a także zapewnienia ochrony danych osobowych pacjentów.  

Treść art. 23a ust. 1 ww. ustawy nie jest jasna, a sam pkt 3 został sformułowany bardzo ogólnie. Tymczasem wykorzystywanie monitoringu wizyjnego w podmiotach leczniczych oznacza  w większości przypadków przetwarzanie danych osobowych szczególnych kategorii, dotyczących zdrowia (art. 9 ust. 1 RODO).

Podstawy do przetwarzania takich danych powinny być jasne i precyzyjne, a ich stosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka.

Podstawa przetwarzania, zgodnie z RODO, musi być określona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator i ma zawierać cel przetwarzania, a dodatkowo także przepisy szczegółowe dostosowujące stosowanie przepisów rozporządzenia muszą służyć realizacji celu leżącego w interesie publicznym oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

Brak w przepisach szczegółowych – regulujących działalność leczniczą – odpowiednich gwarancji zapewniających autonomię informacyjną podmiotów danych,  powoduje nieproporcjonalność  przyjętych rozwiązań przewidujących możliwość zastosowania w bliżej nieokreślony sposób monitoringu wizyjnego w każdym pomieszczeniu, w którym udzielane są świadczenia zdrowotne.

W świetle standardów europejskich i konstytucyjnych ocena proporcjonalności art. 23a ustawy o działalności leczniczej wymaga zatem wyważenia dwóch wartości: interesu publicznego (interesu podmiotu leczniczego dotyczącego stosowania monitoringu w celu leczenia pacjentów lub zapewnienia im bezpieczeństwa) oraz prawa do ochrony danych osobowych i prawa do prywatności.

Balans ten można osiągnąć przeprowadzając tzw. test prywatności, którego narzędziem jest ocena skutków dla ochrony danych. Prawodawca jest zobowiązany przeprowadzić ocenę skutków dla ochrony danych w przypadku wprowadzania rozwiązań mogących powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych dotyczących przetwarzania danych, w tym w szczególności z użyciem nowych technologii (art. 35 ust. 10 rozporządzenia 2016/679 w zw. z art. 25 ust. 1 i 2 oraz art. 36  rozporządzenia 2016/679). Jest to również ważny instrument rozliczalności, ponieważ ułatwia nie tylko przestrzeganie wymogów określonych w rozporządzeniu 2016/679, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO.

Prezes UODO wskazał, że w przepisach dotyczących stosowania monitoringu wizyjnego w placówkach medycznych brakuje regulacji dotyczących:

• zasad stosowania monitoringu, o którym mowa w art. 23a ustawy o działalności leczniczej – istotne zagadnienia nie powinny być pozostawione woli wykonawcy normy do unormowania w regulaminie organizacyjnym, akcie pozbawionym mocy powszechnie obowiązującego źródła prawa;
• określenia relacji pkt 2 i 3 artykułu 23a ust. 1 ustawy – obie te normy odnoszą się bowiem do kwestii stosowania monitoringu wizyjnego w pomieszczeniach, w których są udzielane świadczenia zdrowotne;
• odpowiednich norm dotyczących wypełnienia obowiązku informacyjnego wobec pacjentów i innych osób.

W odniesieniu do wątpliwości co do proporcjonalności rozwiązań przyjętych w aktualnych przepisach, Prezes UODO zwrócił uwagę, na to, że:

• dotychczasowe regulacje ograniczały możliwość zastosowania monitoringu do określonych w odrębnych przepisach przypadków, a także ograniczały możliwość nagrywania obrazu uzyskanego z monitoringu wizyjnego. Aktualnie istnieje możliwość zastosowania monitoringu w każdym pomieszczeniu, w którym są udzielane świadczenia zdrowotne a podmiot wykonujący działalność leczniczą ma możliwość przetwarzać nagrania obrazu uzyskane w wyniku monitoringu zawierające dane osobowe bez żadnych ograniczeń w odniesieniu do pomieszczeń, w których monitoring jest instalowany ;
• przy tak istotnej ingerencji w prawo do prywatności pacjenta i prawa do ochrony danych osobowych, wątpliwości budzi uzależnienie podjęcia decyzji o zastosowaniu monitoringu od swobodnej woli kierownika podmiotu leczniczego;
• Europejska Rada Ochrony Danych podkreśla, że monitoring wizyjny nie jest domyślnie niezbędny, gdy istnieją inne środki umożliwiające osiągnięcie założonego celu. W przeciwnym razie dojść może do ryzykownych zmian w zakresie norm społecznych, prowadzących do bezrefleksyjnego akceptowania braku prywatności.

Ponadto, zdaniem Prezesa UODO, w obliczu wyzwań, jakie niesie za sobą rozwój nowych technologii, ustawodawca powinien przyjąć w przepisach prawnych rozwiązania odpowiadające gwarancjom ochrony danych osobowych wymaganym mocą art. 9 ust. 3 i 4 rozporządzenia 2016/679 w związku z art. 24 tego aktu.

Szczegółowe uwagi do przepisów o monitoringu wizyjnym w placówkach medycznych zawarte są w załączonym piśmie o sygnaturze DOL.413.13.2024