Czym jest monitoring w placówkach medycznych a RODO?

Monitoring w placówkach medycznych a RODO - definicja

Monitoring w placówkach medycznych a RODO to zbiór wymagań prawnych, organizacyjnych i technicznych dotyczących rejestrowania obrazu na terenie szpitali, przychodni, poradni i innych podmiotów leczniczych w sposób zgodny z przepisami o ochronie danych osobowych. W praktyce chodzi o to, kiedy i na jakich zasadach można utrwalać obraz pacjentów, personelu, osób odwiedzających oraz innych osób znajdujących się na terenie placówki, a także jak zabezpieczać i ograniczać wykorzystanie takich nagrań.

W środowisku medycznym monitoring ma podwyższony poziom ryzyka dla prywatności. Sam obraz twarzy jest daną osobową, jeżeli umożliwia identyfikację osoby, zgodnie z art. 4 pkt 1 RODO - „cytat” - „dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. W placówkach medycznych nagranie może dodatkowo pośrednio ujawniać informacje o stanie zdrowia, korzystaniu ze świadczeń zdrowotnych, miejscu hospitalizacji lub relacji pacjenta z konkretną poradnią. To powoduje ryzyko przetwarzania danych szczególnej kategorii w rozumieniu art. 9 ust. 1 RODO oraz ryzyko naruszenia tajemnicy medycznej, o której mowa m.in. w art. 13 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.

W kontekście zdjęć i wideo zgodność z RODO nie oznacza zakazu stosowania kamer. Oznacza konieczność ograniczenia celu, pola widzenia, czasu retencji, kręgu odbiorców i zakresu identyfikacji osób. Jeżeli materiał ma być udostępniany, analizowany szkoleniowo, przekazywany podwykonawcy lub używany poza pierwotnym celem bezpieczeństwa, często konieczna staje się anonimizacja lub co najmniej pseudonimizacja nagrań. W praktyce przy materiałach wideo stosuje się głównie zamazywanie twarzy i tablic rejestracyjnych, a pozostałe elementy, takie jak dokumenty, identyfikatory czy obraz na monitorach, wymagają zwykle ręcznej redakcji obrazu.

Podstawa prawna monitoringu w placówkach medycznych

Podstawą oceny legalności monitoringu nie jest jeden przepis, ale kilka równoległych reżimów prawnych. Dla Inspektora Ochrony Danych kluczowe jest rozdzielenie celu bezpieczeństwa od celu medycznego i od celu szkoleniowego. Inne będą przesłanki, zakres danych i okres przechowywania.

Najważniejsze akty i dokumenty odniesienia to:

  • RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.
  • Ustawa z 15 kwietnia 2011 r. o działalności leczniczej.
  • Ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.
  • Kodeks pracy - art. 22(2) i 22(3), jeżeli monitoring obejmuje pracowników.
  • Wytyczne 3/2019 EROD dotyczące przetwarzania danych osobowych za pomocą urządzeń wideo, wersja przyjęta 29 stycznia 2020 r.
  • Orzecznictwo TSUE i krajowych sądów administracyjnych dotyczące zakresu danych osobowych oraz zasad proporcjonalności.

Wytyczne EROD 3/2019 podkreślają, że monitoring wizyjny wymaga wykazania niezbędności i proporcjonalności. W placówkach medycznych oznacza to w szczególności unikanie kamer w miejscach, w których prywatność pacjenta ma najwyższy poziom ochrony, takich jak gabinety badań, sale zabiegowe, przebieralnie czy sanitariaty, chyba że istnieje bardzo szczególna podstawa prawna i wdrożono dodatkowe zabezpieczenia.

Znaczenie tajemnicy medycznej i danych wrażliwych na nagraniach

W szpitalu lub przychodni samo wejście do określonej strefy może ujawniać informacje o zdrowiu. Nagranie osoby oczekującej pod poradnią onkologiczną, psychiatryczną, leczenia uzależnień lub zakaźną może pozwalać na wyciągnięcie wniosków o stanie zdrowia. Z tego powodu analiza ryzyka dla monitoringu medycznego powinna uwzględniać nie tylko identyfikację twarzy, ale też kontekst miejsca, czasu i interakcji.

Najczęstsze źródła ryzyka na materiale wideo to:

  • wizerunek twarzy pacjenta i personelu,
  • tablice rejestracyjne pojazdów na parkingu lub pod izbą przyjęć,
  • tabliczki przy drzwiach gabinetów i nazwy oddziałów,
  • opaski pacjentów, identyfikatory personelu i kartki informacyjne,
  • ekrany monitorów z danymi medycznymi, które mogą wejść w kadr,
  • nagranie dźwięku, jeżeli system rejestruje również fonię.

W praktyce tajemnica medyczna nie dotyczy wyłącznie dokumentacji medycznej. Może zostać naruszona także przez udostępnienie lub niewłaściwe zabezpieczenie nagrania, które pokazuje pacjenta w okolicznościach pozwalających ustalić fakt leczenia, hospitalizacji lub rodzaju świadczenia.

Anonimizacja nagrań i zdjęć z monitoringu medycznego

Jeżeli nagranie z placówki medycznej ma być użyte poza pierwotnym celem bezpieczeństwa, należy ocenić, czy potrzebna jest anonimizacja obrazu. W praktyce najczęściej chodzi o przekazanie materiału do audytu incydentu, szkolenia personelu, postępowania wewnętrznego, publikacji materiału poglądowego lub udostępnienia podmiotowi zewnętrznemu.

W materiale wideo anonimizacja zwykle polega na trwałym i nieodwracalnym ograniczeniu identyfikacji osób. Dla twarzy i tablic rejestracyjnych stosuje się automatyczne wykrywanie i zamazywanie. Taki proces może wykorzystywać modele AI oparte o deep learning, ponieważ detekcja musi działać dla różnych kątów ustawienia twarzy, częściowych zasłonięć, zmiennego oświetlenia, ruchu, odbić i niskiej jakości obrazu. Model jest najpierw trenowany na dużych zbiorach danych, a następnie używany do inferencji, czyli wykrywania obiektów na konkretnym nagraniu i nanoszenia maski rozmycia lub pikselizacji.

Trzeba jednak odróżnić automatyczną anonimizację twarzy i tablic od pełnej redakcji obrazu. Gallio PRO automatycznie zamazuje wyłącznie twarze i tablice rejestracyjne. Nie wykrywa automatycznie logotypów firm, tatuaży, tabliczek z imionami, dokumentów ani obrazu na monitorach. Takie elementy można zamazywać ręcznie w edytorze. Ma to znaczenie w placówkach medycznych, gdzie dane pacjenta często pojawiają się właśnie na opaskach, ekranach i wydrukach znajdujących się w kadrze.

Kluczowe parametry oceny systemu anonimizacji wideo

Przy ocenie narzędzia nie wystarczy deklaracja, że „rozmywa twarze”. Dla środowiska medycznego potrzebne są parametry pozwalające ocenić ryzyko pominięcia obiektu lub nadmiarowego maskowania. Parametry należy weryfikować na własnym materiale testowym, ponieważ skuteczność zależy od jakości kamer i sceny.

Parametr

Znaczenie praktyczne

Uwagi dla placówek medycznych

 

Recall detekcji

Odsetek twarzy lub tablic wykrytych przez model

Kluczowy dla minimalizacji niewykrytych pacjentów na nagraniu

Precision detekcji

Odsetek poprawnych wykryć wśród wszystkich wykryć

Wpływa na liczbę fałszywych masek i czytelność materiału po anonimizacji

FN rate

Odsetek obiektów pominiętych

Najważniejsza metryka z perspektywy ryzyka naruszenia danych

Czas przetwarzania

Czas potrzebny do anonimizacji materiału

Gallio PRO nie wykonuje anonimizacji w czasie rzeczywistym ani na strumieniu wideo

Tryb wdrożenia

On-premise lub chmura

On-premise ogranicza transfer nagrań medycznych poza organizację

Zakres logowania

Jakie zdarzenia zapisuje system

Istotne, aby logi nie zawierały danych osobowych ani danych szczególnych kategorii

W ocenie ryzyka można stosować prosty wskaźnik pokrycia anonimizacji: skuteczność = 1 - FN rate. Jeżeli na próbce 1000 twarzy system pominął 8, to FN rate = 0,008, a skuteczność pokrycia wynosi 99,2%. Taki wynik nadal wymaga oceny jakościowej, bo znaczenie ma to, które twarze zostały pominięte i w jakim kontekście klinicznym występują.

Organizacja procesu zgodnego z RODO

W placówce medycznej zgodność nie zależy tylko od samego algorytmu. Równie ważne są zasady dostępu, retencji, udostępniania i dokumentowania czynności przetwarzania. Wysokie ryzyko dla praw pacjentów może uzasadniać przeprowadzenie DPIA, czyli oceny skutków dla ochrony danych, zgodnie z art. 35 RODO.

Proces minimalnego bezpieczeństwa powinien obejmować:

  • określenie celu monitoringu i podstawy prawnej,
  • analizę stref objętych kamerami i wyłączenie obszarów szczególnie wrażliwych,
  • ustalenie retencji nagrań i zasad ich nadpisywania,
  • kontrolę dostępu opartą na rolach,
  • procedurę eksportu nagrań i ich anonimizacji przed dalszym użyciem,
  • rejestr odbiorców i przypadków udostępnienia materiału,
  • weryfikację umów powierzenia, jeżeli w procesie uczestniczy podmiot zewnętrzny.

W modelu on-premise materiał pozostaje w infrastrukturze organizacji, co zwykle upraszcza kontrolę nad transferem danych. Ma to istotne znaczenie dla nagrań ze szpitali i przychodni, gdzie każde dodatkowe kopiowanie materiału zwiększa ryzyko naruszenia poufności.

Praktyczne zastosowania monitoringu i anonimizacji w placówkach medycznych

Najczęstsze legalne zastosowania monitoringu w ochronie zdrowia dotyczą bezpieczeństwa osób i mienia, kontroli dostępu do stref ograniczonych, wyjaśniania incydentów oraz zabezpieczania infrastruktury. Jeżeli jednak nagranie ma trafić do materiału szkoleniowego, prezentacji, audytu zewnętrznego albo do dostawcy oprogramowania, zakres identyfikacji osób powinien zostać ograniczony.

Praktyczne przykłady użycia anonimizacji to:

  • przygotowanie materiału szkoleniowego z izby przyjęć z zamazaniem twarzy pacjentów i tablic pojazdów,
  • udostępnienie nagrania z korytarza firmie analizującej zdarzenie bezpieczeństwa po wcześniejszej redakcji danych w kadrze,
  • przekazanie fragmentu monitoringu do wewnętrznego audytu jakości bez ujawniania tożsamości osób postronnych,
  • zabezpieczenie materiału dowodowego z parkingu szpitalnego z anonimizacją tablic rejestracyjnych dla dalszych odbiorców nieuprawnionych do pełnej identyfikacji.

Warto pamiętać, że w Polsce status tablic rejestracyjnych jako danych osobowych bywa oceniany kontekstowo. Z jednej strony wytyczne UODO, EROD i część orzecznictwa unijnego skłaniają do ostrożnego podejścia i ich maskowania. Z drugiej strony w orzecznictwie sądów administracyjnych występuje stanowisko, że same tablice nie zawsze stanowią dane osobowe. W praktyce dla placówek medycznych bezpieczniejsze jest podejście konserwatywne, zwłaszcza przy dalszym udostępnianiu materiału.

Odniesienia normatywne i źródła

Poniższe źródła są podstawowe dla interpretacji wymogów przy monitoringu w podmiotach leczniczych i anonimizacji nagrań:

  • RODO - Rozporządzenie (UE) 2016/679, Dz.U. UE L 119 z 4.05.2016.
  • EROD, Wytyczne 3/2019 dotyczące przetwarzania danych osobowych za pomocą urządzeń wideo, przyjęte 29.01.2020.
  • Ustawa z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta.
  • Ustawa z 15.04.2011 r. o działalności leczniczej.
  • Kodeks pracy, art. 22(2) i 22(3).
  • Norma ISO/IEC 27001:2022 - system zarządzania bezpieczeństwem informacji, jako punkt odniesienia dla kontroli organizacyjnych i technicznych.
  • Norma ISO/IEC 27701:2019 - rozszerzenie zarządzania informacją prywatną, przydatne przy projektowaniu procesów ochrony danych.