Litvanijsko nadzorno tijelo je utvrdilo da je bolnica nezakonito provodila videonadzor i audio snimanje u nekoliko prostorija, uključujući operacijske sale. Dok se videonadzor u općim bolničkim područjima može opravdati legitimnim interesima, praćenje u operacijskim salama i određenim područjima za pregled pacijenata smatrano je nezakonitom obradom zdravstvenih podataka.
Voditelj podataka je javna bolnica koja koristi sustav videonadzora s 26 kamera instaliranih u svojim prostorijama, uključujući ulaze, hodnike, područja za prijem pacijenata, ambulantne sobe za pregled i tri operacijske sale. Većina unutarnjih kamera također je snimala zvuk. Navedene svrhe nadzora bile su osigurati sigurnost osoblja, pacijenata i imovine te, u operacijskim salama, osigurati nesmetanu organizaciju rada.
Nakon obavijesti ispitanika, nadzorno tijelo za zaštitu podataka pokrenulo je istragu po službenoj dužnosti i proveo nadzor na licu mjesta. Otkriveno je da određene kamere djelomično pokrivaju područja za pregled pacijenata i radna mjesta stalnih zaposlenika. U operacijskim salama kamere su snimale područja u blizini operacijskih stolova i prenosile video i audio uživo na radnu stanicu, iako voditelj podataka nije mogao jasno utvrditi tko je imao pristup prijenosu uživo ili jesu li snimke pohranjene.
Voditelj obrade se pozvao na legitimni interes prema članku 6(1)(f) GDPR-a kao pravnu osnovu te je proveo procjenu utjecaja na zaštitu podataka i test ravnoteže (legitimnog interesa). Tvrdio je da su ispitanici obaviješteni potpisivanjem dokumenata o prijemu u bolnicu te da je pristup video i audio podacima bio ograničen. Tijekom nadzora također je utvrđeno da su video snimke pohranjene dulje od definiranih razdoblja čuvanja.
Čuvanje podataka
Nadzorno tijelo za zaštitu podataka utvrdilo je da se videonadzor u općim područjima bolnice, kao što su ulazi, hodnici i predvorja, u načelu može temeljiti na legitimnom interesu voditelja obrade za osiguranje sigurnosti, pod uvjetom da su pogledi kamera na odgovarajući način ograničeni. Međutim, videonadzor u sobama za pregled, prijemnim i hitnim pregledima te gerijatrijskim jedinicama bio je nezakonit u mjeri u kojoj su pogledi kamera pokrivali područja pregleda pacijenata ili radna mjesta stalnih zaposlenika, jer to nije u skladu s ravnotežom interesa propisanom člankom 6(1)(f) GDPR-a.
Nadzorno tijelo je nadalje utvrdilo da je videonadzor u operacijskim salama bio nezakonit
Voditelj obrade nije uspio dokazati da je takav nadzor bio potreban za postizanje navedene svrhe učinkovite organizacije rada, budući da su bile dostupne manje nametljive alternative. Štoviše, prevladala su prava i razumna očekivanja ispitanika, s obzirom na posebno osjetljivu prirodu operacijskih sala, gdje se pacijenti mogu svlačiti i podvrgnuti invazivnim postupcima. Kao rezultat toga, obrada nije ispunjavala zahtjeve nužnosti ili uravnoteženja prema članku 6(1)(f) GDPR-a.
Osim toga, tijelo je utvrdilo da je voditelj obrade nezakonito obrađivao posebne kategorije osobnih podataka, uključujući zdravstvene podatke, jer nije uspio dokazati primjenjivost bilo koje iznimke prema članku 9(2) GDPR-a. Isti nedostaci odnosili su se na audio snimanje provedeno uz videonadzor.
Sukladno tome, nadzorno tijelo je zaključilo da je voditelj obrade prekršio članak 5(1)(a), članak 6(1), članak 9(2) i povezane odredbe GDPR-a te je zatražilo od voditelja obrade da uskladi svoje prakse video i audio nadzora sa zakonom o zaštiti podataka.
Zaključno, od iznimne je važnosti da sve zdravstvene ustanove koje koriste sustave videonadzora usklade isti sa svim zahtjevima GDPR-a. Obrada posebnih kategorija osobnih podataka zahtijeva visoki stupanj pažnje te treba voditi računa da oznake za snimanje nisu znak da ste se uskladili s GDPR-om.
