Ukryty monitoring wizyjny na oddziale neonatologii w Krakowie. Dodatkowo szpital zgubił (lub ktoś ukradł) karty pamięci z nagraniami. Kara z RODO ~1100000zł

O szczegółach donosi UODO, a chodzi o Centrum Medyczne Ujastek Sp. z o.o. z siedzibą w Krakowie. Poniżej najciekawsze cytaty z dość obszernego materiału:

Administrator zastosował zegary z funkcją rejestracji obrazu (tj. kamera zamontowana w zegarze umożliwiająca nagrywanie obrazu)

(…) rejestrowany był obraz ukazujący zarówno noworodki, jak ich matki podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci czy ich pielęgnacja. (…)

O prowadzonej rejestracji obrazu nie zostali poinformowani ani pacjenci ani pracownicy placówki.

Dodatkowo karty pamięci, gdzie przechowywane były nagrania zostały „zgubione” lub „ukradzione”:

Kierownik (…) otrzymał informację od jednego z lekarzy, że wstawione urządzenia zostały przeniesione w inne miejsce na Oddziale i gdy je sprawdzono 24 lipca 2023 roku ok. godziny 8:00 okazało się, że zostały z nich wyjęte karty pamięci, na które dokonywał się zapis z monitoringu

Po przeprowadzeniu czynności wyjaśniających ustalono, że karty pamięci, na których znajdowały się nagrania nie zostały zaszyfrowane, a wykorzystane do rejestracji obrazu urządzenia nie zostały skonfigurowane w sposób odpowiadający wymaganiom obowiązującym w placówce.

Placówka poinformowała, że w wyniku przedmiotowego zdarzenia naruszeniu ochrony danych osobowych uległy dane osobowe 190 osób, w tym 30 pacjentów, 60 przedstawicieli ustawowych pacjentów, 97 osób z personelu oraz 3 studentów odbywających praktyki.

(…) motywacją i celem wdrożenia monitoringu wizyjnego była troska o zdrowie i bezpieczeństwo noworodków, ze względu na wzmożoną liczbę objawów zakażenia układu pokarmowego

Garść rad na koniec:

• Rozważ zapisywanie obrazu z kamer tylko po stronie serwerowej (rejestrator video) – najlepiej w formie szyfrowanej
• Pamiętaj aby transmitować obraz z kamery do serwera w formie szyfrowanej
• Warto odseparować sieć „kamerową” od reszty infrastruktury (tak aby ktoś nie mógł łatwo wpiąć się do kabla „kamerowego” i uzyskać dostępu do infrastruktury)
• Pamiętaj, że kamery dość często posiadają krytyczne podatności, umożliwiające przejęcie dostępu do nich (często pomaga tutaj aktualizacja firmware)
• Pamiętaj żeby zmienić domyślne dane logowania do kamer
• Uwaga na mikrofony w kamerach (sporo modeli ma je fabrycznie dostępne) – warto kupować modele bez mikrofonów, a przynajmniej je świadomie wyłączyć
• Odpowiednio / jasno poinformuj osoby, których wizerunek / głos mogą być rejestrowane

~Michał Sajdak