-W planie kontroli znalazły się m.in. te obszary, w których odnotowywano w ostatnim roku incydenty związane z ochroną danych osobowych oraz te, które (z uwagi w szczególności na napływające do Urzędu skargi i zgłaszane naruszenia) prezes UODO uznał za szczególnie problematyczne – pisze w zapowiedzi kontroli na ten rok Mirosław Wróblewski, prezes UODO. W ochronie zdrowia priorytetem będą kontrole sektorowe podmiotów leczniczych, przetwarzanie danych osobowych przy wykorzystaniu monitoringu wizyjnego. Kontrolerzy chcą skupić się w szczególności na monitoringu najmłodszych, w tym w ramach szpitalnych oddziałów dziecięcych, jak również przychodni/poradni dla dzieci oraz młodzieżowych. -Dziwi mnie tylko tak wąski zakres kontroli jak monitoring. W szczególności, że moim zdaniem monitoring jest tutaj najmniejszym problemem. Wystarczy porozmawiać z lekarzami i o tym jakie są hasła dostępowe. Niemniej, tutaj widzę inną zaletę. Monitoring jest solidnie opisany np. w wytycznych UODO, EROD, a także uregulowany w sektorowych przepisach, na przykład w ustawie o działalności leczniczej. Dzięki temu można sprawdzić dużo podmiotów i to w miarę sprawnie. Przy dobrze przygotowanych audytorach w dwa dni spokojnie można jeden podmiot sprawdzić, nawet z formalnościami jak okazanie legitymacji, protokół cząstkowy itp. Przy dużej skali kontroli, zrobi to wrażenie na przyszłość - uważa Jan Komosa, adwokat specjalizujący się w RODO i AML.

Plan kontroli sektorowych UODO na rok 2026 - zobacz w LEX >

Placówki związane bardziej bądź choćby pośrednio z medycyną i ochroną zdrowia mogą też być wizytowane przy okazji kontroli w takich sektorach jak np. „podmioty prowadzące Biuletyn Informacji Publicznej” (w tym przypadku UODO zweryfikuje sposób przetwarzania danych osobowych w związku z realizacją obowiązku prowadzenia BIP, w szczególności w zakresie anonimizacji danych) albo internetowe platformy dostaw takich towarów jak wyroby medyczne albo e-apteki. - Plan kontroli sektorowych UODO na 2026 r. pokazuje wprost, że określone obszary przetwarzania danych osobowych znajdują się już w centrum zainteresowania organu nadzorczego. Szczególną ostrożność powinny zachować te podmioty lecznicze (np.  publiczne szpitale), które na podstawie przepisów ustawy o dostępie do informacji publicznej, są zobowiązane do prowadzenia Biuletynu Informacji Publicznej. W ich przypadku istnieje realne ryzyko objęcia zainteresowaniem UODO z więcej niż jednego powodu: zarówno w związku ze stosowaniem monitoringu wizyjnego, jak i z przetwarzaniem danych osobowych w ramach realizacji obowiązków związanych z prowadzeniem BIP. Jednocześnie z planu kontroli wynika, że UODO zapowiada działania również wobec podmiotów marketingowych oraz internetowych platform dostaw, przy czym obszary te wydają się być przez organ rozumiane szeroko. Przygotowanie do ewentualnej kontroli UODO powinno obejmować nie tylko przegląd i aktualizację dokumentacji RODO, ale także weryfikację stosowania procedur w praktyce. Rok 2026 jest dobrym momentem, aby całościowo ocenić system zarządzania ochroną danych osobowych w organizacji i sprawdzić, czy deklarowana zgodność z RODO znajduje realne odzwierciedlenie w jej codziennym funkcjonowaniu. Dobrą praktyką na tym etapie jest przeprowadzenie ukierunkowanego audytu wewnętrznego, który pozwali zidentyfikować obszary wymagające poprawy i odpowiednio wcześnie wdrożyć działania naprawcze – wskazuje Mateusz Kupiec, prawnik w kancelarii Traple Konarski Podrecki i Wspólnicy oraz badacz w Instytucie Nauk Prawnych PAN.
Czy pracowników SOR można wyposażyć w przenośne kamerki na odzieży? - sprawdź w LEX >

W systemie LEX znajdziesz zagadnienie powiązane z tym artykułem:

Dane wrażliwe

Najczęściej czytane w temacie:

• [Ewidencja osób upoważnionych do przetwarzania danych osobowych] - Art. 42. - Ochrona danych osobowych przetwarzanych w związku... - Dz.U.2023.1206 t.j.
• Czy pracodawca ma podstawę prawną do przetwarzania danych o pracowniku w związku z przyczyną zwolnienia od pracy z powodu...
• Czy w przypadku osób chorych lub niepełnosprawnych zamieszkujących w lokalach należących do spółdzielni spółdzielnia...

Czytaj więcej w systemie informacji prawnej LEX

Zamów bezpłatny dostęp na 14 dni

To zagadnienie zawiera:

{"dataValues":[637,105,74,22,3],"dataValuesNormalized":[16,3,2,1,1],"labels":["Pytania i odpowiedzi","Komentarze i publikacje","Orzeczenia i pisma urz\u0119dowe","Akty prawne","Procedury"],"colors":["#940C72","#007AC3","#EA8F00","#85BC20","#E5202E"],"maxValue":841,"maxValueNormalized":20}

Najczęściej czytane w temacie:

• [Ewidencja osób upoważnionych do przetwarzania danych osobowych] - Art. 42. - Ochrona danych osobowych przetwarzanych w związku... - Dz.U.2023.1206 t.j.
• Czy pracodawca ma podstawę prawną do przetwarzania danych o pracowniku w związku z przyczyną zwolnienia od pracy z powodu...
• Czy w przypadku osób chorych lub niepełnosprawnych zamieszkujących w lokalach należących do spółdzielni spółdzielnia...

Czytaj więcej w systemie informacji prawnej LEX

Zamów bezpłatny dostęp na 14 dni

-Znaczenie opublikowanego planu kontroli sektorowych dla podmiotów leczniczych należy oceniać również w świetle najnowszego dostępnego sprawozdania prezesa UODO za 2024 r., przy czym statystyki za 2025 r. nie są jeszcze znane. Wynika z niego, że w 2024 r. organ nadzorczy przeprowadził łącznie 50 kontroli, z czego większość – aż 33 – miała charakter kontroli sektorowych. Jeżeli taka wzmożona aktywność nadzorcza UODO w obszarach uznanych za szczególnie ryzykowne potwierdzi się również w 2026 r., podmioty lecznicze powinny liczyć się z większym ryzykiem objęcia kontrolą, zwłaszcza jeżeli wobec danej placówki wcześniej występowały przesłanki mogące uzasadniać zwiększone zainteresowanie organu nadzorczego, np. wysoka liczba zgłoszonych naruszeń ochrony danych osobowych – dodaje Kupiec.

Sprawdź w LEX: Czy regulamin organizacyjny podmiotu leczniczego może wskazać krótszy niż 3 miesiące czas przechowywania nagrań z monitoringu wizyjnego? >

Warto zwrócić uwagę, co w ochronie zdrowia już kontrolował UODO w przeszłości i z jakimi rezultatami. W lutym ubr. prezes UODO Mirosław Wróblewski nałożył dwie kary na krakowskie Centrum Medyczne Ujastek w łącznej kwocie ponad 1,1 miliona złotych za zamontowanie urządzeń rejestrujących obraz na dwóch salach oddziału neonatologii niezgodnie z obowiązującymi przepisami oraz za niezastosowanie środków technicznych i organizacyjnych odpowiadających ryzyku dla danych przetwarzanych na kartach pamięci, które znajdowały się w urządzeniach monitorujących. UODO ustalił, że monitoring swoim zakresem rejestrował obraz ukazujący zarówno noworodki, jak ich matki podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci czy ich pielęgnacja. Zgodnie z przekazanymi przez placówkę wyjaśnieniami dzieci, których wizerunek został utrwalony na nagraniach, nie wymagały już intensywnej terapii, a więc stan ich zdrowia nie był zagrożony. Dlatego UODO stwierdził, że wdrożony przez ukaraną placówkę monitoring wizyjny został wprowadzony niezgodnie z obowiązującymi przepisami, a ponadto miał charakter niejawny – o prowadzonej rejestracji obrazu nie zostali poinformowani ani pacjenci ani pracownicy placówki. W placówce doszło do zagubienia lub kradzieży kart pamięci z urządzeń rejestrujących obraz z niezaszyfrowanymi nagraniami.

Zobacz w LEX: Monitoring wizyjny w placówkach medycznych - wytyczne Prezesa UODO >

Postulaty zmiany prawa

Podstawą prawną do instalacji monitoringu w podmiotach leczniczych jest art. 23a ustawy z  15 kwietnia 2011 r. o działalności leczniczej (tekst jedn. Dz. U. z 2025 r. poz. 450). Przewiduje on, że kierownik takiego podmiotu może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników. Można też określić sposób obserwacji pomieszczeń, w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych. Trzecia grupa pomieszczeń, którą można objąć monitoringiem, to te w których są udzielane świadczenia zdrowotne, jeżeli jest to konieczne w procesie leczenia pacjentów lub do zapewnienia im bezpieczeństwa (w przypadku szpitali, zakładów opiekuńczo-leczniczych, zakładów pielęgnacyjno-opiekuńczych, zakładów rehabilitacji leczniczej i hospicjów).

Ponadto przepis ten określa standardy samego monitoringu - należy uwzględnić konieczność poszanowania intymności i godności pacjenta, w tym przekazywanie obrazu z monitoringu w sposób uniemożliwiający ukazywanie intymnych czynności fizjologicznych, potrzebę zastosowania monitoringu w danym pomieszczeniu oraz konieczność ochrony danych osobowych.

Czytaj też w LEX: Monitoring w podmiotach wykonujących działalność leczniczą >

UODO także ocenia te przepisy jako mało precyzyjne i rok temu wystąpił do resortu zdrowia o ich zmianę. A wykorzystywanie monitoringu wizyjnego w podmiotach leczniczych oznacza  w większości przypadków przetwarzanie danych osobowych szczególnych kategorii, dotyczących zdrowia (art. 9 ust. 1 RODO). - Przy tak istotnej ingerencji w prawo do prywatności pacjenta i prawa do ochrony danych osobowych, wątpliwości budzi uzależnienie podjęcia decyzji o zastosowaniu monitoringu od swobodnej woli kierownika podmiotu leczniczego – pisał Mirosław Wróblewski (prezes UODO) do MZ. Krytykował też, że przepisy ustawowe pozwalają opisać szczegółowe zasady monitoringu w aktach prawnych dość niskiej rangi (i nie mające statusu powszechnie obowiązujących), jakimi są zarządzenie wprowadzające regulaminy placówek tworzone przez  ich kierowników. Jak dotąd, nic się jednak w sprawie ewentualnej nowelizacji nie zadziało.

Monitoring w placówkach medycznych to również ochrona okolicy. W tym przypadku UODO też traci cierpliwość do szerokiego stosowania kamer przemysłowych i krytykuje np. monitorowanie nie tylko terenu danej placówki, ale też np. dróg publicznych wokół niej i jej sąsiadów, co może naruszać ich prywatność. Miesiąc temu UODO nakazał – co prawda nie szpitalowi, ale osobie fizycznej na jej prywatnej posesji – mocne ograniczenie utrwalania obrazu i dźwięku obejmującego to, co się dzieje na sąsiednich posesjach. Analogiczne uwagi mógłby mieć też jednak do kamer CCTV zanadto „dbających o bezpieczeństwo” placówek leczniczych. To o tyle ważne, że zaawansowana technika miniaturyzuje szybko takie urządzenia, poprawia nagrywany obraz i zbierany dźwięk, przez co trudno się nawet zorientować o istnieniu monitoringu.

W LEX znajdziesz wzór regulaminu funkcjonowania monitoringu wizyjnego w placówce medycznej >

Zapominają poinformować pacjentów

UODO kontrolował też pod kątem kamer CCTV placówki pedagogiczne i przy tej okazji podkreślał obowiązki informacyjne instalującego monitoring, a także na to, aby tak zebrane dane były przechowywane tylko przez krótki okres. Brak spełnienia obowiązków informacyjnych wytykały placówkom medycznym także inne organy państwowe. Naczelny Sąd Administracyjny przyznał w tej kwestii rację rzecznikowi praw pacjenta, który ukarał jeden ze szpitali za brak poinformowania pacjentów o zainstalowanym monitoringu (wyrok NSA z 23 maja 2023 r., II OSK 1761/20).

W LEX znajdziesz wzór oceny skutków dla ochrony danych dla monitoringu wizyjnego w szpitalu >