Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył dwie wysokie kary finansowe na Centrum Medyczne Ujastek Sp. z o.o. z siedzibą w Krakowie. Łączna wartość sankcji wynosi 1 145 891,25 zł, a powodem były nielegalne praktyki związane z monitoringiem wizyjnym na oddziale neonatologii oraz niewłaściwe zabezpieczenie danych przechowywanych na kartach pamięci.
Nielegalny monitoring wizyjny na oddziale neonatologii
Jednym z głównych naruszeń, za które UODO ukarał placówkę, było zamontowanie urządzeń rejestrujących obraz na dwóch salach oddziału neonatologii bez podstawy prawnej i bez informowania pacjentów oraz pracowników o prowadzeniu nagrań.
Monitoring funkcjonował w okresie od 1 do 23 lipca 2023 roku i obejmował zarówno noworodki, jak i ich matki, rejestrując intymne czynności, takie jak karmienie czy pielęgnacja dzieci. Placówka tłumaczyła, że dzieci objęte monitoringiem nie wymagały już intensywnej terapii, co oznaczało, że ich życie i zdrowie nie były zagrożone. Jednak analiza przeprowadzona przez UODO wykazała, że rejestracja obrazu w takich okolicznościach nie miała podstaw prawnych i naruszała przepisy RODO.
Dodatkowo monitoring miał charakter niejawny – żaden z pacjentów ani pracowników szpitala nie został poinformowany o rejestracji obrazu, co stanowiło poważne naruszenie zasad przetwarzania danych osobowych. W związku z tym naruszeniem Prezes UODO nałożył na placówkę karę finansową w wysokości 687 534,75 zł.
Brak zabezpieczeń i kradzież kart pamięci
Drugie naruszenie, które skutkowało karą w wysokości 458 356,50 zł, dotyczyło zagubienia lub kradzieży kart pamięci zawierających nagrania z monitoringu. Centrum Medyczne Ujastek samo zgłosiło ten incydent Prezesowi UODO, jednak przeprowadzone postępowanie wykazało poważne uchybienia w zakresie zabezpieczenia danych:
- Karty pamięci nie były zaszyfrowane, co oznaczało, że każdy, kto wszedłby w ich posiadanie, mógł bez problemu odtworzyć nagrania.
- Urządzenia rejestrujące nie spełniały standardów bezpieczeństwa, które powinny obowiązywać w placówce medycznej.
- Analiza ryzyka przeprowadzona przez placówkę nie uwzględniała zagrożeń związanych z utratą danych, co świadczyło o braku odpowiednich procedur zabezpieczających.
Prezes UODO uznał, że Centrum Medyczne nie wdrożyło odpowiednich środków organizacyjnych i technicznych, które mogłyby zapobiec temu incydentowi. W efekcie pacjenci oraz ich dane osobowe zostały narażone na niekontrolowane ujawnienie, co stanowiło poważne zagrożenie dla ich prywatności.