Duński organ nadzoru wydał decyzję w sprawie szpitala, który na swoim Instagramie publikował wizerunki pacjentów za ich zgodą. Organ nadzoru podjął w wątpliwość, czy zgody takie były rzeczywiście dobrowolne.
Kontekst sprawy
Obywatel Danii złożył skargę do duńskiego organu ochrony danych w związku z opublikowaniem swojego zdjęcia na koncie Instagram Szpitala Uniwersyteckiego w Aarhus. Na tej podstawie w dniu 19 grudnia 2022 r. organ ochrony danych wszczął dochodzenie przeciwko Regionowi Danii Środkowej (administratorowi danych). Podczas postępowania organ ustalił, że konto na Instagramie regularnie publikowało zdjęcia i filmy z codziennego życia ze szpitala. Pokazywało zdjęcia pacjentów, personelu i krewnych. Było aktywne od czerwca 2015 r.,miało ponad 15 000 obserwujących oraz ponad 1400 postów. Przegląd konta ujawnił również, że istniały posty ze zdjęciami i informacjami o pacjentach z 2016 roku. W niektórych przypadkach zawierały one informacje o stanie zdrowia.
Administrator bronił się, argumentując, że informacje zamieszczone na koncie miały na celu informowanie społeczeństwa o codziennym funkcjonowaniu szpitala. Dodatkowo wyjaśnił, że posty zawierające informacje o obywatelach, w tym pacjentach, były publikowane na podstawie uzyskanej zgody zgodnie z art. 6 ust. 1 lit. a RODO i art. 9 ust. 2 lit. a) RODO. Były uzyskiwane na piśmie przed opublikowaniem postu, a ich udzielenie lub odmowa nie miały wpływu na leczenie pacjenta.
Administrator podkreślił również, że przetwarzanie danych było zgodne z zasadami zgodności z prawem, rzetelności i przejrzystości, zgodnie z art. 5 ust. 1 lit. a) RODO, oraz z zasadą minimalizacji danych, zgodnie z art. 5 ust. 1 lit. c) RODO, ponieważ przetwarzano jedynie niezbędne dane. W celu ograniczenia przetwarzania danych osobowych zwracano uwagę na to, czy informacje takie jak numery ubezpieczenia społecznego i nazwiska były widoczne na monitorach, w dokumentacji medycznej i opaskach na rękę pacjentów widocznych na zdjęciach. Wreszcie, administrator danych twierdził, że przestrzega również zasady ograniczenia przechowywania danych określonej w art. 5 ust. 1 lit. e) RODO, ponieważ osoby, których dane dotyczą, mają możliwość składania wniosków o ich usunięcie.
Zgoda jednak nie dobrowolna
Duński organ ds. ochrony danych orzekł, że dane przetwarzane w sprawie można uznać za dane dotyczące zdrowia, ponieważ towarzyszyły im informacje o oddziale szpitalnym oraz o schorzeniach pacjenta lub – w niektórych przypadkach – celach badania. W związku z tym konieczne było uzyskanie wyraźnej zgody zgodnie z art. 9 ust. 2 RODO, a warunki jej wyrażenia – określane w 4 ust. 11 RODO – należało ocenić w kontekście istotnych okoliczności, w których została udzielona. Organ ds. ochrony danych zauważył, że gdy pacjent zazwyczaj znajduje się w trudnej sytuacji podczas hospitalizacji lub leczenia w szpitalu, istnieje nierówność pozycji między pacjentem a personelem szpitalnym, co może oznaczać, że pacjent doświadcza presji podczas udzielania zgody, co wpływa na swobodę wyboru. Dodatkowo wskazano, że zgodnie z postanowieniami RODO przetwarzanie danych osobowych przez instytucje publiczne nie może opierać się na zgodzie z uwagi na inherentną nierówność w relacji między administratorem, a obywatelem.
100 tys. zł kary dla Ministra Zdrowia za ujawnienia danych o zdrowiu pacjenta
W związku z tym organ ochrony danych stwierdził, że warunki określone w art. 4(11) RODO nie zostały spełnione. W konsekwencji stwierdził, że przetwarzanie danych osobowych przez administratora w związku z niniejszym postępowaniem nie było zgodne z art. 9 ust. 2 lit. a) RODO i art. 6 ust. 1 lit. a) RODO. W związku z tym duński organ danych uznał, że przetwarzanie nie było również zgodne z zasadami art. 5 ust. 1 RODO. W tym kontekście udzielono administratorowi danych nagany. Ponadto, na mocy art. 58(2)(d) RODO, nakazano administratorowi usunięcie postów zawierających informacje zdrowotne o pacjentach z konta na Instagramie w ciągu czterech tygodni od dnia wydania decyzji.
Zgoda jako podstawa przetwarzania
Zgoda jako jedna z podstaw przetwarzania danych osobowych nie jest wcale przesłanką najdogodniejszą, szczególnie w kontekście warunków jej udzielenia i faktu, że może zostać w każdej chwilo odwołana. Zgoda musi być bowiem jednocześnie: dobrowolna, konkretna, świadoma i jednoznaczna. Sprawia to, że jej zastosowanie powinno każdorazowo zostać poprzedzone wnikliwą analizą.
Źródło:
