Brytyjski organ ochrony danych osobowych karze za nagrywanie pacjentek bez ich wiedzy i zgody
Niedawno pisaliśmy o pierwszej karze za nieprzestrzeganie RODO nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych. Organy ochrony danych osobowych w innych państwach Unii Europejskiej także wykazują znaczącą aktywność w zakresie prowadzonych kontroli i nakładanych kar. Kilka dni temu Information Commissioner’s Office (ICO) – brytyjski odpowiednik PUODO – nałożył na spółkę zajmującą się produkcją telewizyjną karę w wysokości 120 000 funtów za nieprzekazanie osobom, które były filmowane i nagrywane przez urządzenia znajdujące się w placówce medycznej, wystarczających informacji o tym fakcie, a także za nieuzyskanie ich pozwolenia na takie działania. Sprawa dotyczy co prawda czynności, które miały miejsce od lipca do listopada 2017 r., niemniej jednak może mieć znaczenie dla interpretowania obowiązków ciążących na administratorach danych osobowych na gruncie RODO.
Istotny jest rodzaj przetwarzanych danych
Sprawa dotyczyła umieszczenia przez ukaraną spółkę kamer CCTV i mikrofonów w pokoju przeznaczonym do badań pacjentek w szpitalu. Materiały były nagrywane na potrzeby stworzenia filmu dokumentalnego dotyczącego poronień. ICO w toku przeprowadzonego postępowania ustaliło, że chociaż spółka miała zgodę szpitala na umieszczenie swojego sprzętu w szpitalu, to nie przekazała pacjentkom kompleksowej informacji o nagrywaniu.
ICO wskazało, że zazwyczaj pacjenci nie spodziewają się, że będą filmowani w takich sytuacjach. Zebrany materiał zawierał dane wrażliwe o pacjentach, a okoliczność, że program miał charakter edukacyjny, nie stanowi usprawiedliwienia dla sposobu postępowania i zaniechań ukaranej spółki. ICO pokreślił także, że wszystkie podmioty przetwarzające dane osobowe, niezależnie od celu swojej działalności, muszą przestrzegać obowiązującego prawa, szczególnie jeżeli w grę wchodzi przetwarzanie danych, które objęte są szczególną ochroną. ICO nie mógł dopatrzyć się żadnych okoliczności, które zdejmowałyby z ukaranej spółki obowiązek efektywnego poinformowania osób, które były nagrywane, o tym fakcie.
Nie każde poinformowanie jest wystarczające
Co istotne, spółka wywiesiła obok kamer i w poczekalni ograniczone informacje dotyczące nagrywania, a dodatkowo zostawiła informacje w formie papierowej na stolikach przeznaczonych dla oczekujących pacjentek. Materiały te nie zawierały jednak, w ocenie ICO, wystarczających informacji, a dodatkowo błędnie wskazywały, że nagrywanie nie będzie odbywać się bez zgody pacjentek. Naruszyło to zasadę transparentności przetwarzania, przede wszystkim z tej przyczyny, że pacjenci placówki medycznej zwykle nie spodziewają się tego, że będą nagrywani podczas np. rozmowy z lekarzem.
Powyższe rozważania ICO są zgodne także z podejściem przyjętym w RODO – w przypadku każdego przetwarzania danych osobowych kluczowe jest ustalenie rodzaju przetwarzanych danych i takie dobranie stosowanych środków i mechanizmów przetwarzania, aby były one adekwatne dla konkretnego rodzaju danych. Nie można uznać za wystarczające dla spełnienia obowiązku informacyjnego takiego udostepnienia informacji o przetwarzaniu danych, które, po pierwsze, może zostać uznane za działanie jedynie pozorne (a nie skuteczne informowanie o dokonywanym przetwarzaniu), a po drugie może wprowadzać osoby, których dane są przetwarzane, w błąd co do podstaw takiego przetwarzania.
Katarzyna Szczudlik