Nemocnice (UOOU-02737/21)
Kontrola byla zahájena na základě podnětu. Předmětem kontroly bylo dodržování povinností stanovených GDPR a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů při využívání kamerového systému v prostorách konkrétní kliniky nemocnice.
Zavedení kamerového monitorovacího systému ve vnitřních prostorách kliniky mělo být dle vyjádření kontrolované osoby podpůrným procesem pro detekci vzniku nežádoucích stavů pacientů a nedílnou součástí celkové léčby pacienta. Kontrolovaná osoba dále uvedla, že zpracování osobních údajů je podle ustanovení čl. 6 odst. 1 písm. c) GDPR založeno na základě zákona o zdravotních službách a vyhlášky o zdravotnické dokumentaci. Zpracování zvláštních kategorií osobních údajů pacientů pak mělo být zdůvodněno výjimkou dle čl. 9 odst. 2 písm. i) GDPR, kdy je zpracování nezbytné z důvodu veřejného zdraví a slouží k zajištění přísných norem kvality a bezpečnosti zdravotní péče, léčivých přípravků nebo zdravotnických přípravků. Zákon o zdravotních službách ani vyhláška o zdravotnické dokumentaci však nestanoví povinnost provádět sledování stavu pacientů pomocí videokamer. V průběhu kontroly navíc vyplynulo, že v období posledních 10 let nebylo do kamerových záznamů nahlíženo. Úřad konstatoval, že kontrolované osobě pro užití kamerového monitorovacího systému ve vnitřních prostorách kliniky právní titul ve smyslu čl. 6 odst. 1 písm. c) GDPR nesvědčí.
K využití kamerového systému ve vnějších prostorách kontrolovaná osoba prokázala oprávněný zájem dle čl. 6 odst. 1 písm. f) GDPR. Oprávněný zájem spočívá v ochraně majetku nemocnice, prevenci před vandalismem a v ochraně života a zdraví osob vstupujících do prostor nemocnice.
Kontrolující též dospěli k závěru, že kontrolovaná osoba neporušila povinnosti vztahující se k zabezpečení osobních údajů. A ačkoli byla zjištěna drobná dílčí pochybení při plnění informační povinnosti, jejich rozsah a intenzita nedosáhla úrovně porušení povinností společně stanovených čl. 5 odst. 1 písm. a), čl. 12 odst. 1 a čl. 13 GDPR.
Proti kontrolním zjištěním kontrolovaná osoba nepodala námitky.
Doplňující informace:
Je nutno zdůraznit, že konstatované porušení povinnosti dané čl. 6 odst. 1 GDPR (zákonnost zpracování) se vztahuje ke konkrétně deklarovaným účelům a skutečnostem zjištěným při kontrole. V teoretické rovině by kamerový monitorovací systém ve vnitřních prostorách mohl být provozován v souladu s čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem správce nebo třetích stran). Muselo by však být správcem osobních údajů prokázáno, že pro konkrétní účely má oprávněný zájem přednost před zájmy nebo základními právy a svobodami subjektu údajů.