II SA/Wa 536/25

WyrokWSA w Warszawie2025-09-30

Skład orzekający: Sławomir Antoniuk, Izabela Głowacka-Klimas, Mateusz Rogala

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy placówka medyczna może legalnie stosować monitoring wizyjny na salach szpitalnych, w tym salach noworodków, w celu zapobiegania infekcjom, oraz czy utrata nośników danych z nagraniami stanowi podstawę do nałożenia administracyjnej kary pieniężnej z tytułu naruszenia przepisów o ochronie danych osobowych?
Ratio decidendi
Sąd uznał, że placówka medyczna nie miała podstawy prawnej do stosowania monitoringu wizyjnego na salach szpitalnych, ponieważ nie spełniła wymogów określonych w ustawie o działalności leczniczej i rozporządzeniu Ministra Zdrowia, w szczególności nie wykazała konieczności takiego działania ani nie wprowadziła odpowiednich zmian w regulaminie organizacyjnym. Ponadto, utrata nośników danych z nagraniami, przy braku odpowiednich środków technicznych i organizacyjnych oraz nieprawidłowo przeprowadzonej analizie ryzyka, stanowiła podstawę do nałożenia administracyjnej kary pieniężnej.
Stan faktyczny
Centrum Medyczne U. Sp. z o.o. wdrożyło monitoring wizyjny na dwóch salach szpitalnych Oddziału Neonatologii, powołując się na konieczność zapobiegania infekcjom. W trakcie stosowania monitoringu doszło do utraty kart pamięci z nagraniami. Prezes Urzędu Ochrony Danych Osobowych nałożył na Centrum Medyczne dwie administracyjne kary pieniężne za niezgodne z prawem przetwarzanie danych osobowych, niespełnienie obowiązku informacyjnego oraz niezastosowanie odpowiednich środków bezpieczeństwa. Centrum Medyczne wniosło skargę do WSA w Warszawie, kwestionując zasadność nałożonych kar.
Rozstrzygnięcie
Oddalono skargę Centrum Medycznego U. Sp. z o.o. na decyzję Prezesa Urzędu Ochrony Danych Osobowych.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk, Sędzia WSA Izabela Głowacka-Klimas, Asesor WSA Mateusz Rogala (spr.), , Protokolant starszy specjalista Ewa Kielak-Niedźwiedzka, , po rozpoznaniu na rozprawie w dniu 30 września 2025 r. sprawy ze skargi Centrum Medycznego U. Sp. z o.o. z siedzibą w K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2025 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] stycznia 2025 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2024 r., poz. 572, powoływanej dalej jako k.p.a.) w zw. z art. 7, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3, art. 83 ust. 4 lit. a) w związku z art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, a także art. 83 ust. 5 lit. a) i b) w związku z art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2, art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm., powoływanego dalej jako rozporządzenie nr 2016/679), Prezes Urzędu Ochrony Danych Osobowych, w pkt 1, stwierdzając naruszenie przez Centrum Medyczne [...] Sp. z o.o. z siedzibą w K. przepisów: a) art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia nr 2016/679, polegające na niezgodnym z prawem przetwarzaniu danych osobowych, w tym danych szczególnej kategorii poprzez zastosowanie monitoringu wizyjnego na dwóch salach szpitalnych Oddziału [...] b) art. 13 ust. 1 i 2 rozporządzenia nr 2016/679, polegającego na niespełnieniu obowiązku informacyjnego wobec osób, których dane osobowe objęte były przetwarzaniem, na skutek wprowadzonego monitoringu wizyjnego na dwóch salach szpitalnych Oddziału [...], co skutkowało naruszeniem art. 5 ust. 1 lit. a) rozporządzenia nr [...] (zasady zgodności z prawem, rzetelności i przejrzystości) oraz art. 5 ust. 2 rozporządzenia nr [...] (zasady rozliczalności), nałożył na Centrum Medyczne [...] Sp. z o.o. administracyjną karę pieniężną w kwocie [...] zł; zaś w pkt 2 decycji, stwierdzając naruszenie przez Centrum Medyczne [...] Sp. z o.o. przepisów: art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr [...], polegające na niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym, co skutkowało naruszeniem art. 5 ust. 1 lit. f) rozporządzenia nr [...] (zasady integralności i poufności) oraz art. 5 ust. 2 rozporządzenia nr [...] (zasady rozliczalności), nałożył na Centrum Medyczne [...] Sp. z o.o. za naruszenie art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr 2016/679 administracyjną karę pieniężną w kwocie [...] zł. W uzasadnieniu swojego rozstrzygnięcia organ podał, że Centrum Medyczne [...] Sp. z o.o. jest podmiotem, którego podstawowy charakter działalności gospodarczej skoncentrowany jest na udzielaniu świadczeń i usług medycznych, w szczególności w zakresie położniczo - ginekologicznym. W dniu [...] lipca 2023 r. Centrum Medyczne zgłosiło naruszenie ochrony danych osobowych, polegające na zagubieniu bądź kradzieży kart pamięci z dwóch urządzeń monitoringu wizyjnego, które rejestrowały obraz w dwóch salach Oddziału [...]. Zgodnie z deklaracją administratora wskazaną w uzupełnieniu zgłoszenia naruszenia ochrony danych osobowych, w związku z wystąpieniem tego incydentu złożył on zawiadomienie o podejrzeniu popełnienia przestępstwa do Prokuratury Rejonowej dla K. [...] w K.. Jednocześnie, w dniu [...] sierpnia 2023 r. na portalu internetowym [...] opublikowany został artykuł dotyczący praktyk Centrum Medycznego w związku ze stosowanym przez ten podmiot systemem monitoringu. W związku z powyższym organ przeprowadził postępowanie wyjaśniające, a następnie [...] lutego 2024 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Centrum Medyczne [...] Sp. z o.o., jako administratora danych, obowiązków wynikających z art. 5 ust. 1 lit. a) i lit. f), art. 5 ust. 2, art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2, art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr [...]. W toku postępowania organ ustalił, że Centrum Medyczne jest objęte monitoringiem wizyjnym (bez rejestracji dźwięku) obejmującym obszar budynku zlokalizowanego przy ul. [...] [...] w K. (pomieszczenia ogólnodostępne oraz kluczowe pomieszczenia, w tym sale Oddziału [...] , zgodnie z obowiązującymi przepisami) oraz obszar wokół tego budynku. Administrator, jako podstawę prawną upoważniającą go do pozyskania danych osobowych na skutek wprowadzonego doraźnego monitoringu wizyjnego na ww. salach Oddziału Neonatologii, wskazał art. 23a ust. 1 pkt 2 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2024 r., poz. 799) w związku z § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą (Dz. U. z 2022 r., poz. 402) - art. 6 ust. 1 lit. f) rozporządzenia nr [...] ze względu na prawnie uzasadniony interes, a także art. 222 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2023 r., poz. 1465 ze zm.) w celu zapewnienia bezpieczeństwa pracowników i ochrony mienia, a także zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Monitoring wizyjny na salach Oddziału [...] prowadzony był w okresie od [...] do [...] lipca 2023 r., a do realizacji ww. działań administrator zastosował zegary z funkcją rejestracji obrazu (tj. kamera zamontowana w zegarze umożliwiająca nagrywanie obrazu). Administrator wyjaśnił organowi, że motywacją i celem wdrożenia monitoringu wizyjnego była troska o zdrowie i bezpieczeństwo noworodków, ze względu na wzmożoną liczbę objawów zakażenia układu pokarmowego. Dane osobowe pozyskane poprzez zastosowany monitoring wizyjny "miały być przechowywane przez okres nie dłuższy niż 30 dni od dnia nagrania". Administrator wskazał, że przed wdrożeniem doraźnego monitoringu (tj. dwóch dodatkowych urządzeń monitorujących zamontowanych w dwóch salach Oddziału [...]) nie została przeprowadzona analiza potwierdzająca konieczność wprowadzenia ww. rozwiązania. Ponadto wyjaśnił, że w okresie poprzedzającym zastosowanie dodatkowych urządzeń monitorujących placówka podjęła czynności mające na celu wyeliminowanie występowania zakażeń noworodków poprzez: wzmożone sprzątanie pomieszczeń, fumigacje, wymianę urządzeń sanitarno-higienicznych, wzmożony reżim sanitarny, przeprowadzenie szkoleń dla rodziców noworodków dotyczących procedur mycia i higieny rąk. Placówka wskazała następnie, że spełniła obowiązek informacyjny względem osób przebywających na terenie podmiotu medycznego poprzez "naklejki znajdujące się na budynku Szpitala w miejscach stosowanego monitoringu, zawierające rzeczone informacje oraz odsyłające do treści klauzuli informacyjnej dotyczącej stosowania monitoringu wizyjnego, poprzez kod QR przekierowujący do strony internetowej z przedmiotową klauzulą". Dostęp do pełnej treści klauzuli informacyjnej dotyczącej stosowanego w placówce monitoringu wizyjnego możliwy jest (oprócz kodu QR) w recepcji (możliwość uzyskania klauzuli w formie wydruku). Ponadto, pełna treść klauzuli informacyjnej dostępna jest na stronie internetowej Centrum Medycznego. W odniesieniu do pracowników, administrator zaznaczył, że każda nowozatrudniona osoba jest informowana o stosowanym monitoringu wizyjnym. Pracownicy administratora zostali poinformowani o podjęciu [...] czerwca 2021 r. uchwały przez zarząd Centrum Medycznego w sprawie wprowadzenia zmian w Regulaminie Pracy dotyczących wprowadzenia w trybie art. 222 Kodeksu Pracy monitoringu wizyjnego na terenie zakładu pracy od [...] lipca 2021 r. Centrum Medyczne wskazało, że zgodnie z pkt 4 klauzuli informacyjnej, monitoringiem wizyjnym objęte są kluczowe pomieszczenia, którymi w analizowanym przypadku są sale Oddziału [...]. Jednocześnie w klauzuli informacyjnej nie została ujęta definicja, precyzująca i wyjaśniająca określenie "kluczowe pomieszczenia". Administrator poinformował, że załącznik nr [...] do Regulaminu Organizacyjnego Szpitala obejmującego wykaz budynków i pomieszczeń objętych monitoringiem wizyjnym nie został zaktualizowany przed wdrożeniem dodatkowego monitoringu na dwóch salach Oddziału [...]. Centrum Medyczne poinformowało ponadto organ, że na dwóch salach Oddziału [...] na [...], na których zamontowany został doraźny monitoring wizyjny, znajdowały się "dzieci, które zostały przeniesione z 1 i 2 odcinka i nie wymagają już intensywnej terapii. Dzieci przebywające na tych salach są objęte rehabilitacją, nauką karmienia i pielęgnacji przez ich rodziców". Odnosząc się z kolei do kwestii utraty kart pamięci z monitoringu wizyjnego na Oddziale [...], organ wyjaśnił, że w zgłoszeniu naruszenia ochrony danych osobowych administrator wskazał, że "Kierownik Oddziału otrzymał informację od jednego z lekarzy, że wstawione urządzenia zostały przeniesione w inne miejsce na Oddziale i gdy je sprawdzono [...] lipca 2023 roku ok. godziny 8: 00 okazało się, że zostały z nich wyjęte karty pamięci, na które dokonywał się zapis z monitoringu (urządzenia nie dokonywały bieżącego zapisu danych na zewnętrznym serwerze, zapis dokonywał się jedynie na karcie pamięci, więc nie ma dostępu do kopii zapasowej nagrań)". Jednocześnie placówka poinformowała, że w wyniku przedmiotowego zdarzenia naruszeniu ochrony danych osobowych uległy dane osobowe [...] osób, w tym [...] pacjentów, [...] przedstawicieli ustawowych pacjentów, [...] osób z personelu oraz 3 studentów odbywających praktyki. W tym zakresie administrator poinformował organ, że posiada wdrożoną Politykę Monitoringu Wizyjnego oraz powiązaną z nią procedurę Zabezpieczenia Nośników Informacji, które to dokumenty są częścią obowiązującego Systemu Zarządzania Bezpieczeństwem Informacji. Centrum Medyczne posiada certyfikat systemu zarządzania zaświadczający, że wprowadziło i stosuje System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami [...], przechodząc coroczne audyty. Zgodnie z deklaracją administratora monitorowanie przestrzegania procedur realizowane jest na bieżąco poprzez weryfikację kompletności dokumentacji pracowniczej, udostępnienie treści procedury przez dotychczasowych oraz nowych pracowników (w celu zapoznania się z obowiązującymi zasadami), weryfikację naklejek z informacją o monitoringu wizyjnym na terenie placówki medycznej, weryfikację w zakresie dostępności przetwarzanych informacji oraz działania poszczególnych kamer i rejestratorów w sposób ciągły i automatyczny przez system informatyczny. Administrator podał, że zorganizował i przeprowadził kilka spotkań z personelem Oddziału. Personel Oddziału był informowany o tym, że w przypadku wejścia w posiadanie kart pamięci lub informacji na temat przedmiotowego zdarzenia, należy je niezwłocznie przekazać kierownictwu Szpitala. Ponadto, zgłoszono zawiadomienie o podejrzeniu popełnienia przestępstwa. Administrator poinformował, że karty pamięci z dodatkowych urządzeń monitorujących nie zostały poddane szyfrowaniu, a także przedstawił opis sposobu dokonywania regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w ramach monitoringu wizyjnego i zrzuty ekranu oprogramowania. Administrator wskazał, że dwa dodatkowe urządzenia monitorujące zamontowane w salach Oddziału [...] nie spełniały wymogów ustalonych i określonych w dokumencie pn. "Opis środków technicznych i organizacyjnych służących zapewnieniu bezpieczeństwa przetwarzaniu danych osobowych w ramach monitoringu wizyjnego w Centrum Medycznym [...]" oraz nie były skonfigurowane z oprogramowaniem NAC (system zapewniający kontrolę dostępu do sieci), [...] (oprogramowanie monitorujące szereg parametrów sieci, jak również działania i integralności serwerów), czy [...] (system zarządzania podatnościami). Urządzenia te nie były również "zainstalowane do wewnętrznej sieci komputerowej, zapis danych był dokonywany do znajdujących się w nich kart pamięci". Centrum Medyczne jednocześnie poinformowało, że za wdrożenie dodatkowych urządzeń monitorujących na dwóch salach Oddziału [...] odpowiedzialny był personel Oddziału oraz dział [...], a ich wdrożenie nie odbyło się na podstawie harmonogramu, a także nie został sporządzony protokół ich montażu. Administrator podał, że przed wystąpieniem naruszenia ochrony danych osobowych przeprowadził analizę ryzyka w zakresie stosowania monitoringu wizyjnego. Ponadto, wskazał, że dokument w postaci "Polityki monitoringu wizyjnego" został zmieniony uchwałą Zarządu Spółki z dnia [...] września 2023 r., natomiast "Polityka zabezpieczania nośników informacji" nie została poddana aktualizacji od [...] kwietnia 2021 r. W dalszej części uzasadnienia swojego rozstrzygnięcia organ dokonał analizy treści wskazywanych przez administratora podstaw prawnych, które miały upoważniać go do wprowadzenia dodatkowego monitoringu wizyjnego na dwóch salach Oddziału [...]. Organ zauważył, że zgodnie z art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej (w brzmieniu obowiązującym w czasie wystąpienia opisanych w decyzji naruszeń), kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń, w których są udzielane świadczenia zdrowotne oraz pobyt pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych - za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring). Zgodnie natomiast ze stanowiskiem administratora odrębnymi przepisami upoważniającymi go do wprowadzenia doraźnego monitoringu wizyjnego na mocy art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej są normy prawne ujęte w § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą. Stosownie do tego przepisu, w pokojach łóżkowych dopuszcza się instalację urządzeń umożliwiających obserwację pacjentów, jeżeli jest to konieczne w procesie ich leczenia i dla zapewnienia im bezpieczeństwa. Z powyższego organ wyprowadził wniosek, że kluczowe dla zastosowania tego przepisu jest zaistnienie konieczności wprowadzenia monitoringu. A zatem, administrator powinien dysponować dowodami, np. stosownymi analizami, które jednoznacznie wskazywałyby, że tylko wprowadzenie doraźnego monitoringu wizyjnego na dwóch salach Oddziału [...] przyczyniłoby się do ograniczenia ilości zachorowań pacjentów oraz efektywnego procesu ich leczenia. Zdaniem organu, jedynie stosowne uargumentowanie podparte adekwatnymi dowodami spełniłoby warunek legalności dla wprowadzenia rejestracji obrazu. Tymczasem, administrator nie dysponował ani dowodami, z których wynikałoby, że zastosowanie monitoringu wizyjnego jest konieczne w procesie leczenia pacjentów (np. dla spowodowania spadku ich zachorowań) ani konieczne dla zapewnienia ich bezpieczeństwa. Ponadto, oprócz jednoznacznego udowodnienia konieczności wdrożenia monitoringu wizyjnego, placówki lecznicze zobligowane są także do wprowadzenia stosownych zmian w regulaminie organizacyjnym, bowiem zgodnie z art. 23a ustawy o działalności leczniczej, zasady stosowania monitoringu powinny zostać określone w treści regulaminu organizacyjnego, tym samym niezbędne będzie dokonanie jego zmiany, jeśli placówka będzie rozszerzać posiadany monitoring. Organ uznał, że placówka nie spełniła w tym zakresie wymogów związanych z wprowadzaniem dodatkowego monitoringu. Potwierdzeniem bierności administratora w związku z analizowanym monitoringiem wizyjnym jest również fakt, że nie dokonał on aktualizacji załącznika nr [...] do Regulaminu Organizacyjnego Placówki zmienionego uchwałą Zarządu nr [...]z dnia [...] grudnia 2022 r., nie wykazując tym samym nowych obszarów objętych monitoringiem wizyjnym. Wobec powyższego, organ uznał, że z uwagi na wykazane nieprawidłowości we wprowadzeniu doraźnego monitoringu wizyjnego na dwóch salach Oddziału [...] nie może posłużyć się art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej, jako podstawą prawną swojego działania, gdyż nie zostały spełnione obligatoryjne warunki do uznania przedmiotowego monitoringu za legalny (tj. brak wprowadzenia adekwatnych regulacji w regulaminie organizacyjnym oraz niewykazanie konieczności wdrożenia monitoringu wizyjnego). Jednocześnie organ podkreślił, że analiza przepisów ustawy o działalności leczniczej, a także przepisów innych aktów prawnych odnoszących się do tej materii, jednoznacznie wskazuje na istnienie po stronie placówek medycznych obowiązku poszanowania intymności i godności pacjenta w związku ze świadczeniem usług medycznych, a którego to obowiązku administrator nie dochował wobec swoich pacjentów poprzez zamontowanie doraźnego monitoringu wizyjnego. W konsekwencji, pomimo tego, że obowiązek w tym zakresie w przepisach ustawy o działalności leczniczej wprost został sformułowany dopiero na skutek nowelizacji, która weszła w życie w dniu [...] września 2023 r., to nie można uznać, że wcześniej (a więc także w czasie funkcjonowania doraźnego monitoringu wizyjnego w ww. salach) Centrum Medyczne było zwolnione z ich uwzględniania przy realizacji świadczeń. Zdaniem organu, w przypadku wdrożenia monitoringu wizyjnego przez Administratora na dwóch salach Oddziału [...] (w okresie od [...] lipca do [...] lipca 2023 r.) nie może znaleźć zastosowania Załącznik nr [...] pt. "Zespół porodowy" pkt [...] rozporządzenia Ministra Zdrowia z dnia [...] marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą, który bezpośrednio odnosi się do możliwości zastosowania monitoringu wizyjnego w pomieszczeniach przeznaczonych dla położnic i noworodków. Przepis ten może stanowić podstawę prawną zastosowania takiej formy obserwacji wyłącznie w sytuacji, kiedy stan zdrowia noworodków, w związku z powikłaniami porodowymi, nie jest stabilny i może zagrażać ich życiu lub zdrowiu. Tymczasem, jak wynika z wyjaśnień administratora, w pomieszczeniach, w których zamontowany został doraźny monitoring wizyjny, znajdowały się "dzieci, które zostały przeniesione z 1 i 2 odcinka i nie wymagają już intensywnej terapii. Dzieci przebywające na tych salach są objęte rehabilitacją, nauką karmienia i pielęgnacji przez ich rodziców". Tym samym administrator potwierdził, że wdrożenie monitoringu nie miało na celu obserwacji noworodków, których życie lub zdrowie było zagrożone. Odnosząc się zaś kolejnej do wskazywanej przez administratora podstawy prawnej uzasadniającej wdrożenie doraźnego monitoringu wizyjnego, tj. art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 oraz art. 222 Kodeksu pracy, organ zauważył, że w przypadku placówek medycznych zasady wprowadzania monitoringu wizyjnego (i przetwarzania danych osobowych z tym związanych) regulują przepisy ustawy o działalności leczniczej. Administrator, który nie spełnia zasad jego wprowadzenia wynikających z tych przepisów (jak ma to miejsce w przypadku Centrum Medycznego), dla uzasadnienia jego zastosowania nie może powoływać się na inne przesłanki przetwarzania danych osobowych, w tym przesłankę określoną w art. 6 ust. 1 lit. f) rozporządzenia nr [...]. Dodatkowo organ zauważył, że w związku ze stosowanym monitoringiem wizyjnym przetwarzane były również dane o stanie zdrowia, a te mogą być przetwarzane wyłącznie po spełnieniu jednej z przesłanek z art. 9 ust. 2 rozporządzenia nr [...]. Z oczywistych względów za taką przesłankę przetwarzania tych danych nie może zostać zatem uznana ta, o której mowa w art. 6 ust. 1 lit. f) rozporządzenia nr [...]. Organ stwierdził, że zgodnie z informacjami przekazanymi przez administratora, wdrożenie monitoringu nie było w żaden sposób związane z zapewnieniem personelowi bezpieczeństwa, czy też ochrony mienia, gdyż zamontowanie urządzeń monitorujących umotywowane było "wyłącznie przyczynami związanymi z koniecznością wyeliminowania i zapobiegania na przyszłość sytuacji dotyczącej większej niż zazwyczaj liczby objawów zakażeń noworodków". Wobec powyższego, wskazana przez administratora podstawa prawna (art. 222 Kodeksu pracy) nie ma zastosowania do ustalonego w trakcie postępowania administracyjnego stanu faktycznego sprawy. W konsekwencji organ uznał, że zastosowany przez administratora monitoring wizyjny na dwóch salach [...] został wprowadzony bez spełnienia warunków przewidzianych w obowiązujących przepisach prawa. Nie ulega również wątpliwości fakt, że dane osobowe pacjentów objętych monitoringiem wizyjnym stanowiły szczególną kategorię danych osobowych (tj. dane o stanie zdrowia), podlegającą szczególnej ochronie unormowanej na gruncie art. 9 ust. 1 rozporządzenia nr [...], z której administrator skutecznie się nie wywiązał. Zdaniem organu, zastosowany monitoring wizyjny został wprowadzony nieprawidłowo, tj. niezgodnie z obowiązującymi przepisami, rażąco zagrażał prawidłowej realizacji praw przysługującym obywatelom na mocy Konstytucji RP. Jest to szczególnie ważne, jako że zgodnie z art. 47 Konstytucji RP każda osoba ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Organ zauważył, że prawo do prywatności jest jednym z podstawowych praw człowieka, a jego ochrona stanowi element zasadniczy systemu wartości. Organ powołał się następnie na treść art. 20 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2024 r., poz. 581), który stanowi, że pacjent ma prawo do poszanowania intymności i godności, w szczególności w czasie udzielania mu świadczeń zdrowotnych. Organ podkreślił, że wprowadzony monitoring wizyjny swoim zakresem rejestrował obraz ukazujący zarówno noworodki, jak i ich matki, pozwalając na utrwalanie ich wizerunków także podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci czy ich pielęgnacja, co pozostaje w sprzeczności z obowiązkiem poszanowania intymności i godności pacjentów. Następnie organ wskazał, że w niniejszej sprawie stwierdził również naruszenie przez administratora art. 13 ust. 1 i 2 rozporządzenia nr [...] który odnosi się do obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane. Zgodnie bowiem z pkt 4 klauzuli informacyjnej przedłożonej przez administratora, "monitoring wizyjny obejmuje obszar budynku zlokalizowanego przy ul. [...] [...] w K. (pomieszczenia ogólnodostępne oraz kluczowe pomieszczenia, zgodnie z obowiązującymi przepisami) oraz obszar wokół tego budynku". W ocenie organu, zapis sformułowany w zaprezentowany sposób nie daje pełnowartościowej i wyczerpującej informacji podmiotom danych, co do realnego obszaru objętego monitoringiem wizyjnym w Placówce, w szczególności bezpośrednio nie wskazuje, że monitoring stosowany jest również na salach łóżkowych. Tymczasem podczas stosowania monitoringu wizyjnego kluczowym elementem jest precyzyjne i rzetelne wykazanie pomieszczeń, w których zamontowane są urządzenia monitorujące. Użyte przez administratora określenie "pomieszczenia kluczowe" jest zbyt ogólnikowe i może budzić wątpliwości interpretacyjne. Administrator musi także pamiętać o tym, że informacje w tym zakresie są przeznaczone dla osób, których dane dotyczą, a zatem muszą być dla nich zrozumiałe. Innymi słowy, z treści klauzuli informacyjnej w sposób niebudzący wątpliwości powinno wynikać, w jakich pomieszczeniach monitoring wizyjny został zainstalowany. Użycie sformułowania "kluczowe pomieszczenia" tego wymogu nie spełnia, bowiem osoby, których dane dotyczą, nie znają (i nie muszą znać) zakresu pojęciowego tego terminu, tj. wiedzieć, jakie pomieszczenia administrator uznaje za kluczowe. Organ wyjaśnił jednocześnie, że nie może dochodzić do sytuacji, w których administrator zasłaniając się zasadą zwięzłości i przejrzystości nie udziela podmiotom danych pełnej i rzetelnej, a także zrozumiałej dla nich informacji na temat przetwarzania ich danych osobowych. Organ zauważył ponadto, że informacja o stosowanym monitoringu wizyjnym umieszczona została (poprzez naklejkę informacyjną) jedynie na głównych drzwiach Oddziału Neonatologii, a nie bezpośrednio przy salach z zamontowanym doraźnym monitoringiem. Powyższe może wprowadzać w błąd zarówno pacjentów, osoby odwiedzające pacjentów, jak i pracowników placówki, co do faktycznego obszaru objętego monitoringiem. Organ odniósł się również do charakteru zastosowanego monitoringu wizyjnego, w szczególności do tego, że nie miał jawnej formy, zaś administrator zastosował zegary z funkcją rejestracji obrazu (tj. kamera zamontowana w zegarze umożliwiająca nagrywanie obrazu). Ponadto, wdrożenie doraźnego monitoringu poprzez zamontowanie dwóch dodatkowych kamer nie odbywało się na podstawie harmonogramu i nie został sporządzony w niniejszym zakresie protokół dotyczący ich montażu. Kolejnym czynnikiem pozostającym w opozycji co do jawnego charakteru zastosowanego monitoringu wizyjnego jest niewiedza personelu placówki o wprowadzonych działaniach. Tymczasem, jak podkreślił organ, przepisy RODO oraz unormowania krajowe nie pozwalają, by monitoring był prowadzony przy pomocy ukrytych kamer. Uprawnienia do prowadzenia niejawnego monitorowania mają jedynie służby porządkowe i specjalne prowadzące czynności na podstawie ustaw regulujących ich działalność. Stosowanie ukrytych kamer może zostać uznane za nadmiarową formę przetwarzania danych, wiązać się z odpowiedzialnością administracyjną i cywilną, a nawet karną. Przechodząc do oceny realizacji przez administratora zasad bezpieczeństwa przetwarzania danych osobowych, organ stwierdził, że biorąc pod uwagę w szczególności zakres przetwarzanych przez administratora danych osobowych zawartych na zagubionych bądź skradzionych kartach pamięci, które umieszone były w urządzeniach monitoringu wizyjnego (tj. wizerunek oraz dane dotyczące zdrowia), w celu prawidłowego wywiązania się z obowiązków nałożonych przepisami rozporządzenia nr 2016/679, administrator był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzanych danych osobowych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której powinno się zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego była utrata kontroli nad danymi osobowymi osób, których dane znajdowały się na zagubionych bądź skradzionych kartach pamięci, na których był przechowywany zapis z monitoringu wizyjnego zamontowanego na dwóch salach Oddziału [...]. Jednocześnie organ podkreślił, że ze względu na charakter i specyfikę Oddziału [...] pacjentami były również dzieci (noworodki). Jest to istotne, gdyż w momencie zagubienia bądź kradzieży kart pamięci z utrwalonymi wizerunkami nowonarodzonych pacjentów nie można wykluczyć upublicznienia pozyskanych przez osobę nieuprawnioną obrazów w serwisach internetowych. Zdaniem organu, przekazana przez administratora analiza ryzyka w postaci dokumentu pt. "Analiza ryzyk i zagrożeń, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą wyciąg dla procesu monitoringu wizyjnego" (brak daty sporządzenia) budzi wiele wątpliwości. Przeprowadzona przez Centrum Medyczne analiza ryzyka została sporządzona w sposób nieprawidłowy, gdyż nie uwzględniała ona szczegółowo wyodrębnionych podatności, a zagrożenia związane z przetwarzaniem danych osobowych w związku z prowadzonym monitoringiem wizyjnym nie zostały prawidłowo i wyczerpująco zidentyfikowane. W konsekwencji ww. analiza ryzyka nie określała środków bezpieczeństwa, mających na celu zmitygowanie ryzyk związanych z prowadzonym przez Placówkę monitoringiem wizyjnym. Organ stwierdził, że wśród zawartych w analizie ryzyka postanowień administrator nie wskazał możliwości wystąpienia zdarzenia polegającego na zagubieniu bądź kradzieży zewnętrznych nośników danych (tj. kart pamięci). Wobec powyższego organ uznał, że Centrum Medyczne w sposób nieadekwatny przeprowadziło ww. analizę, nie uwzględniając tym samym adekwatnych ryzyk związanych z prowadzonym w Placówce monitoringiem wizyjnym. Administrator zaniechał zatem przeprowadzenia analizy ryzyka dla sytuacji, która spowodowała wystąpienie zgłoszonego organowi naruszenia ochrony danych osobowych, co należy uznać za niezgodne z przepisami rozporządzenia nr [...]. Organ zwrócił uwagę, że administrator nie zastosował się do własnych regulacji i procedur związanych z wprowadzeniem monitoringu wizyjnego oraz zabezpieczaniem nośników danych, czego miał pełną świadomość. Administrator nie zastosował środków technicznych oraz organizacyjnych gwarantujących odpowiedni poziom bezpieczeństwa przetwarzanych danych, znajdujących się na zagubionych bądź skradzionych kartach pamięci. Ponadto organ podniósł, że budzi jego zaniepokojenie fakt, iż placówka medyczna stosująca System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami [...] dokonała naruszenia przepisów rozporządzenia nr [...]w omawianym zakresie w następstwie nieprawidłowo przeprowadzonej analizy ryzyka oraz niezastosowania się do własnych procedur w zakresie zabezpieczenia nośników danych. Biorąc pod uwagę powyższe ustalenia oraz stwierdzone naruszenia przepisów rozporządzenia nr [...], organ stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na administratora administracyjnej kary pieniężnej na podstawie art. 83 rozporządzenia nr [...]. Organ stwierdził dokonanie przez Centrum Medyczne - jednym zachowaniem (opisanym w pkt 1 osnowy decyzji) - naruszenia kilku przepisów rozporządzenia nr [...] (art. 6 ust. 1, art. 9 ust. 1, art. 13 ust. 1 i 2 oraz - w konsekwencji - art. 5 ust. 1 lit. a i art. 5 ust. 2). W stosunku do wszystkich tych naruszeń zastosowany został przepis art. 83 ust. 3 rozporządzenia nr [...], przy czym - w związku z tym, że wszystkie naruszenia zagrożone są (in abstracto) taką samą karą wynikającą z art. 83 ust. 5 rozporządzenia nr [...] (do 20.000.000 EUR lub do 4 % rocznego obrotu) - wszystkim tym naruszeniom należy przypisać taką samą powagę. Konsekwencją tego jest zaś niemożność orzeczenia - za wymienione powyżej naruszenia - kary o wysokości wyższej niż maksymalna wysokość kary za jedno z nich. Organ uznał, że odrębnym zachowaniem (opisanym w pkt 2 osnowy decyzji) Centrum Medyczne naruszyło kolejne przepisy rozporządzenia nr [...] (art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 oraz - w konsekwencji - art. 5 ust. 1 lit. f i art. 5 ust. 2). Ze względu na tę odrębność zachowania administratora organ nie rozpatrywał ich łącznie z poprzednimi naruszeniami i wymierzył za nie odrębnie administracyjną karę pieniężną. Organ następnie przeanalizował szczegółowo przesłanki mające wpływ na wysokość nałożonej kary pieniężnej, uznając, że obciążająco na wymiar kary wpływają: charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia nr [...]); umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia nr [...]); kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia nr [...]); sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia nr [...]). Ostatnią przesłankę jako obciążającą organ uwzględnił wyłącznie w zakresie naruszeń opisanych w pkt 1 osnowy zaskarżonej decyzji. Jako neutralne, tj. niemające wpływu na wymiar orzeczonej kary, organ uznał pozostałe przesłanki wskazane w art. 83 ust. 2 rozporządzenia nr [...], tj. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą; stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32; wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia nr [...]; stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia nr [...]lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia nr [...]; osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty oraz wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy. Organ wyjaśnił ponadto, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej zastosował metodykę przyjętą przez EROD w Wytycznych 04/2022. W ocenie organu, zastosowane administracyjne kary pieniężne w łącznej wysokości [...]zł spełniają w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia nr [...], tzn. są w tym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Centrum Medyczne [...] Sp. z o.o. wniosło do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję, zaskarżając ją w całości i wnosząc o jej uchylenie w całości oraz o zasądzenie kosztów postępowania. Spółka zarzuciła zaskarżonej decyzji naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.: 1. art. 7 w zw. z art. 77 § 1, art. 80 oraz z art. 107 § 3 k.p.a., poprzez niepodjęcie wszelkich niezbędnych czynności do dokładnego wyjaśnienia stanu faktycznego oraz niezebranie i nierozpatrzenie w sposób wyczerpujący całego materiału dowodowego, a także dokonanie dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, co doprowadziło do błędnego ustalenia, że wprowadzony przez skarżącą monitoring wizyjny na dwóch salach Oddziału [...] swoim zakresem rejestrował obraz ukazujący zarówno noworodki, jak i ich matki, pozwalając na utrwalanie ich wizerunków także podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci, czy ich pielęgnacja, a także że utrwalone na kartach pamięci dane osobowe stanowiły również dane szczególnej kategorii w postaci danych o zdrowiu, co skutkowało błędnym ustaleniem stanu faktycznego przez organ niepopartym zgromadzonym przez organ materiałem dowodowym; 2. art. 7 w zw. z art. 77 § 1, art. 80 oraz z art. 107 § 3 k.p.a., poprzez niepodjęcie wszelkich niezbędnych czynności do dokładnego wyjaśnienia stanu faktycznego oraz niezebranie i nierozpatrzenie w sposób wyczerpujący całego materiału dowodowego, a także dokonanie dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, co doprowadziło do błędnego ustalenia, że stan zdrowia noworodków, które znajdowały się na salach objętych dodatkowym monitoringiem wizyjnym nie był zagrożony w kontekście ewentualnego zakażenia, która to okoliczność nie wynikała ze zgromadzonego materiału dowodowego; 3. art. 7 w zw. z art. 77 § 1, art. 80 oraz z art. 107 § 3 k.p.a. poprzez niepodjęcie wszelkich niezbędnych czynności do dokładnego wyjaśnienia stanu faktycznego oraz niezebranie i nierozpatrzenie w sposób wyczerpujący całego materiału dowodowego, a także dokonanie dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, pomimo braku kompetencji organu do samodzielnego rozstrzygania o okolicznościach związanych ze stanem zakażeń na Oddziale oraz ich wpływu na pacjentów Oddziału, co doprowadziło do błędnego ustalenia, że powołane w toku postępowania wyjaśniającego przez skarżącą podstawy prawne nie uprawniały jej do stosowania monitoringu wizyjnego na dwóch salach Oddziału [...]; 4. art. 7 w zw. z art. 77 § 1, art. 80 oraz z art. 107 § 3 k.p.a., poprzez niepodjęcie wszelkich niezbędnych czynności do dokładnego wyjaśnienia stanu faktycznego oraz niezebranie i nierozpatrzenie w sposób wyczerpujący całego materiału dowodowego, a także dokonanie dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, co doprowadziło do braku rozważenia z urzędu przez organ innych podstaw prawnych, które mogłyby umożliwiać przetwarzanie danych za sprawą doraźnego monitoringu wizyjnego, w związku z uznaniem przez organ, że tego przetwarzania nie da się oprzeć na innej podstawie prawnej. Skarżąca postawiła również zarzuty naruszenia prawa materialnego, które miało wpływ na wynik sprawy, tj.: 1. art. 13 ust. 1 i 2 rozporządzenia nr [...], poprzez jego niewłaściwe zastosowanie polegające na uznaniu, że umieszczenie informacji o przetwarzaniu danych na drzwiach wejściowych do Oddziału [...] i na recepcji tego oddziału nie stanowi spełnienia obowiązku informacyjnego wobec osób, których dane osobowe objęte były przetwarzaniem na skutek przedmiotowego monitoringu wizyjnego, podczas gdy taki obowiązek został spełniony przez skarżącą zgodnie z przepisem art. 13 rozporządzenia nr [...], zaś brak jest przepisów, które wymagałyby umieszczenia dodatkowo takich informacji na każdym pomieszczeniu oddziału, co doprowadziło do błędnego ustalenia, że skarżąca nie spełniła obowiązku informacyjnego wynikającego z art. 13 ust. 1 i 2 rozporządzenia nr [...] wobec osób, których dane objęte zostały doraźnym monitoringiem wizyjnym na dwóch salach Oddziału [...]; 2. art. 24 w zw. z art. 25 oraz art. 32 rozporządzenia nr [...], poprzez ich niewłaściwe zastosowanie polegające na uznaniu, że skarżąca nie zastosowała odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym, a w konsekwencji nałożenie na skarżącą administracyjnej kary pieniężnej, podczas gdy wdrożone przez skarżącą środki są odpowiednie, a zastosowany doraźny monitoring był działaniem jednorazowym i stanowiącym wyjątek od przyjętych przez skarżącą reguł w tym zakresie, uzasadniony ochroną życia i zdrowia noworodków; 3. art. 83 ust. 1, 2 i 5 rozporządzenia nr [...], poprzez ich niewłaściwe zastosowanie i nałożenie na skarżącą administracyjnej kary pieniężnej za zarzucane naruszenie polegające na niezgodnym z prawem przetwarzaniu danych osobowych, w tym danych szczególnej kategorii, poprzez zastosowanie monitoringu wizyjnego na dwóch salach szpitalnych Oddziału [...], a także za niespełnienie obowiązku informacyjnego wobec osób, których dane osobowe objęte były przetwarzaniem na skutek przedmiotowego monitoringu wizyjnego - w wysokości nieproporcjonalnej do indywidualnych okoliczności sprawy, w związku z nieprawidłowym wzięciem pod uwagę przez organ okoliczności sprawy wpływających obciążające na wymiar kary, przy jednoczesnym braku wzięcia pod uwagę czynników łagodzących, takich jak brak zaistnienia szkody, niska liczba osób objętych zdarzeniem, stosowanie certyfikacji ISO, wreszcie stan zagrożenia życia i zdrowia noworodków, czyli konieczność ochrony żywotnych interesów dzieci; 4. art. 83 ust. 1, 2 i 4 rozporządzenia nr [...], poprzez ich niewłaściwe zastosowanie i nałożenie na skarżącą administracyjnej kary pieniężnej za zarzucane naruszenie polegające na niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym - w wysokości nieproporcjonalnej do indywidualnych okoliczności sprawy, w związku z nieprawidłowym wzięciem pod uwagę przez organ okoliczności sprawy wpływających obciążające na wymiar kary, przy jednoczesnym braku wzięcia pod uwagę czynników łagodzących, takich jak brak zaistnienia szkody, niska liczba osób objętych zdarzeniem, stosowanie certyfikacji ISO, wreszcie stan zagrożenia życia i zdrowia noworodków, czyli konieczność ochrony żywotnych interesów dzieci; 5. art. 83 ust. 3 rozporządzenia nr [...], poprzez brak jego zastosowania w odniesieniu do wszystkich zarzuconych skarżącej i określonych w decyzji naruszeń, co spowodowało nałożenie na skarżącą dwóch odrębnych administracyjnych kar pieniężnych, zamiast jednej, nieprzekraczającej swoją wysokością kary za najpoważniejsze naruszenie, podczas gdy uznanie odpowiedzialności skarżącej za niezgodne z prawem przetwarzanie danych osobowych, niespełnienie obowiązku informacyjnego wobec osób, które były objęte przetwarzaniem, a także niezastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych, powinny zostać uznane za dokonane w ramach tych samych lub powiązanych operacji przetwarzania w rozumieniu art. 83 ust. 3 rozporządzenia nr [...], tj. w zakresie zastosowania doraźnego monitoringu wizyjnego zastosowanego na dwóch salach szpitalnych Oddziału [...]. W uzasadnieniu skargi skarżąca podniosła m.in., że organ nie próbował ustalić, jak wyglądają pomieszczenia, w których został zastosowany doraźny monitoring wizyjny, kto ma do tych pomieszczeń dostęp i w jakim zakresie, a przede wszystkim w jakim dokładnie miejscu w tych salach ustawione były urządzenia monitorujące, na co skierowany był mieszczący się w nich obiektyw, jaki zakres obrazu obejmował, a także jaka była jego jakość i czy pozwalała ona w ogóle na identyfikację osób, jeżeli znajdowały się one w zakresie monitorowania. Wyjaśnienie skarżącej odnoszące się do tego, że dzieci przebywające na tych salach są objęte nauką karmienia i pielęgnacji, nie jest równoznaczne z informacją, że po pierwsze, czynności te odbywały się właśnie w tych monitorowanych pomieszczeniach, a po drugie, że urządzenia były ustawione w taki sposób, że obejmowały akurat te miejsca - mogły być przecież ustawione w taki sposób, aby rejestrowały np. wyłącznie obszar, na którym wykluczone jest utrwalenie takich czynności. Organ w żaden sposób nie ustalił także, czy na utraconych kartach pamięci znajdowały się nagrania obejmujące wizerunki osób przebywających w salach Oddziału [...], choć przyjęcie takiego domniemania przez organ stanowiło podstawę do uznania utraty danych i nałożenia administracyjnej kary pieniężnej. Skarżąca wyjaśniła następnie, że każde niewłaściwie wykonywane czynności medyczne i pielęgnacyjne, m.in. brak odpowiedniej dezynfekcji rąk i niezachowanie wymaganych standardów, ale również zachowania, które nie powinny mieć miejsca na oddziałach tego typu, jak np. wkładanie telefonu do inkubatora, w którym znajdowało się dziecko - mogły powodować zwiększone ryzyko przeniesienia infekcji na kolejnego pacjenta, co wiązać się mogło z brakiem możliwości poradzenia sobie z objawami zakażenia przez dzieci. Tymczasem organ w ogóle nie wziął powyższego pod uwagę i w arbitralny sposób uznał, że żadnego zagrożenia życia małoletnich pacjentów 4 odcinka Oddziału nie było. Skarżąca wyjaśniła, że organ otrzymał obszerną dokumentację, która w wyczerpujący sposób wykazuje pojawienie się zagrożenia w postaci wzrostu zakażeń wśród noworodków w okresie poprzedzającym zastosowanie doraźnego monitoringu wizyjnego, a ponadto wielość różnorodnych działań podjętych w celu wyeliminowania tego zagrożenia. W opinii skarżącej, okoliczności wynikające z tych dowodów bezsprzecznie potwierdzają, że uzasadniona była instalacja w dwóch salach Oddziału urządzeń monitorujących, gdyż było to działanie konieczne w procesie leczenia noworodków będących pacjentami Oddziału, a także dla zapewnienia im bezpieczeństwa. Skarżąca przedstawiła następnie argumentację na poparcie pozostałych postawionych w skardze zarzutów. W odpowiedzi na skargę organ wniósł o jej oddalenie. W piśmie procesowym z dnia [...] września 2025 r. skarżąca podtrzymała zarzuty argumenty i wnioski skargi, odnosząc się do zawartego w odpowiedzi na skargę stanowiska organu. Na rozprawie w dniu [...] września 2025 r. skarżąca podniosła dodatkowo zarzut naruszenia art. 8 § 1 k.p.a. poprzez nałożenie kary rażąco odbiegającej od dotychczasowej praktyki orzeczniczej. Powołała się na inne postępowania administracyjne, w których organ łagodniej oceniał stopień naruszenia przepisów i wymierzał znacznie niższe administracyjne kary pieniężne. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Skarga nie zasługuje na uwzględnienie. Przedmiotem kontroli Sądu w rozpoznawanej sprawie jest decyzja Prezesa Urzędu Ochrony Danych Osobowych nakładająca na Centrum Medyczne [...] Sp. z o.o. dwie administracyjne kary pieniężne, tj.: 1. w wysokości [...]zł w związku ze stwierdzonymi naruszeniami art. 6 ust. 1 i art. 9 ust. 1 rozporządzenia nr [...], polegającymi na niezgodnym z prawem przetwarzaniu danych osobowych, w tym danych szczególnej kategorii poprzez zastosowanie monitoringu wizyjnego oraz naruszeniem art. 13 ust. 1 i 2 rozporządzenia nr [...], polegającym na niespełnieniu obowiązku informacyjnego wobec osób, których dane osobowe objęte były przetwarzaniem, co skutkowało naruszeniem art. 5 ust. 1 lit. a) oraz art. 5 ust. 2 rozporządzenia nr [...]; 2. w wysokości [...]zł w związku ze stwierdzonymi naruszeniami art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia nr [...], polegającymi na niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym, co skutkowało naruszeniem art. 5 ust. 1 lit. f) oraz art. 5 ust. 2 rozporządzenia nr 2016/679. Podstawę materialnoprawną zaskarżonej decyzji stanowił przede wszystkim art. 83 ust. 4 lit. a) oraz ust. 5 lit. a) i b) rozporządzenia nr [...]. Zgodnie z tymi przepisami, naruszenia przepisów dotyczących kwestii obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25-39 oraz 42 i 43 podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Natomiast naruszenia przepisów dotyczących m.in. podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9; a także praw osób, których dane dotyczą, o których mowa w art. 12-22, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W ocenie Sądu, organ prawidłowo zastosował wskazane przepisy prawa materialnego, bowiem zasadnie uznał, że w świetle zgromadzonego materiału dowodowego należało stwierdzić wystąpienie naruszeń opisanych zarówno w pkt 1, jak i w pkt 2 osnowy zaskarżonej decyzji. Oceniając pierwszy ze stawianych skarżącej zarzutów, Sąd stwierdza, że w rozpoznawanej sprawie brak było podstawy prawnej do przetwarzania przez skarżącą danych osobowych poprzez zastosowanie monitoringu wizyjnego na dwóch salach szpitalnych Oddziału [...]. Takiej podstawy prawnej nie stanowi w szczególności powoływany przez skarżącą art. 23a ust. 1 ustawy o działalności leczniczej oraz § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą. Zgodnie z treścią art. 23a ust. 1 ustawy o działalności leczniczej, w brzmieniu obowiązującym w czasie gdy miały miejsce zdarzenia będące przedmiotem kontroli organu w zaskarżonej decyzji, kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń: 1) ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń, 2) w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych, za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring). Nie budzi wątpliwości w tej sprawie, że pomieszczenia objęte monitoringiem wizyjnym, którego dotyczy wymierzona kara pieniężna, tj. dwie sale szpitalne Oddziału Neonatologii na [...] Odcinku [...] , w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w rozumieniu art. 23a ust. 1 pkt 2 ww. ustawy. Oznacza to, że skarżąca miała po pierwsze obowiązek określenia w regulaminie organizacyjnym sposobu obserwacji pomieszczeń, a po drugie wprowadzenie monitoringu wizyjnego musiało mieć swoją podstawę w przepisach odrębnych. Zdaniem skarżącej, przepis odrębny w tym zakresie stanowi § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą. W myśl tego przepisu, w pokojach łóżkowych dopuszcza się instalację urządzeń umożliwiających obserwację pacjentów, jeżeli jest to konieczne w procesie ich leczenia i dla zapewnienia im bezpieczeństwa. Jak słusznie zatem zauważył organ, z treści przywołanych przepisów wynika jednoznacznie, że instalacja monitoringu wizyjnego w pokojach takich jak dwie sale szpitalne Oddziału [...] jest dopuszczalna jedynie wtedy, gdy jest to konieczne w procesie leczenia i dla zapewnienia bezpieczeństwa pacjentów. Zdaniem Sądu, użyte w tym przepisie sformułowanie należy interpretować ściśle, biorąc pod uwagę wynikający zarówno z przepisów Konstytucji RP (art. 47), jak i m.in. ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (art. 20 ust. 1 oraz art. 22 ust. 1), obowiązek zapewnienia przez placówki medyczne warunków gwarantujących przestrzeganie prawa pacjenta do godności, intymności i prywatności. Innymi słowy, instalacja monitoringu w pokojach łóżkowych oraz innych pomieszczeniach wskazanych w art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej jest dopuszczalna wyłącznie wówczas, gdy w procesie leczenia lub dla zapewnienia pacjentom bezpieczeństwa możliwe jest zastosowanie środków innych niż monitoring. Zarówno w toku postępowania administracyjnego, jak i w skardze do Sądu skarżąca nie powoływała się – zdaniem Sądu – na okoliczności o takim charakterze, które świadczyłyby o zaistnieniu wyżej wskazanych przesłanek. O ile Sąd nie neguje faktu, że zapewnienie przestrzegania zasad higieny oraz zabezpieczenie noworodków (a zwłaszcza wcześniaków) przed infekcjami jest kluczowe z punktu widzenia ich bezpieczeństwa, zdrowia i życia, to nie można uznać, że zastosowane przez skarżącą środki polegające na zamontowaniu kamer mających w sposób niezauważony monitorować zachowanie osób przebywających w pomieszczeniu były jedynym środkiem służącym realizacji wskazywanego przez skarżącą celu. Skarżąca nie wyjaśniła przy tym, w jaki sposób wprowadzenie spornego monitoringu w konkretny i wymierny sposób przełożyło się na zmniejszenie infekcji wśród pacjentów. Jak wynika z akt administracyjnych, na które składają się przed wszystkim składane przez skarżącą w toku postępowania wyjaśnienia, skarżąca nie spełniła również kolejnego warunku legalizującego przetwarzanie danych osobowych na podstawie art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej, gdyż nie dokonała określenia w regulaminie organizacyjnym sposobu obserwacji pomieszczeń, tj. dwóch sal szpitalnych Oddziału [...]. Jak podaje skarżąca powyższe było skutkiem doraźnego charakteru podjętych działań w postaci instalacji monitoringu, jednak powyższe okoliczności nie zwalniały skarżącej z obowiązku określenia w regulaminie organizacyjnym sposobu obserwacji pomieszczeń objętych dodatkowo wprowadzonym monitoringiem wizyjnym. Tego rodzaju zmian w regulaminie jednak nie wprowadzono. W konsekwencji należało stwierdzić, że zarówno art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej, jak i § 29 rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. nie stanowiły w rozpoznawanej sprawie podstawy legalizującej przetwarzanie przez skarżącą danych osobowych w zakresie opisanym w zaskarżonej decyzji. Podstawy takiej nie stanowił również powoływany przez skarżącą art. 222 Kodeksu pracy. Zgodnie z tym przepisem, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring). W rozpoznawanej sprawie nie wystąpiła żadna z wyżej wskazywanych przesłanek uprawniających pracodawcę do stosowania monitoringu. Również sama skarżącą w istocie nie wskazywała, że instalacja monitoringu miała inny cel niż zapewnienie ochrony pacjentów przed nasilającymi się zakażeniami. Ponadto, co słusznie zauważył organ przepisem szczególnym regulującym zasady wprowadzania monitoringu w podmiotach prowadzących działalność leczniczą jest art. 23a ust. 1 pkt 2 ustawy o działalności leczniczej, również zatem z tej przyczyny przywoływany przez skarżącą przepis Kodeksu pracy nie miał w tej sprawie zastosowania. Sąd podziela również stanowisko organu, ze wobec wyjaśnień skarżącej dotyczących tego, że do będących przedmiotem postępowania dwóch sal szpitalnych trafiają pacjenci niewymagający już intensywnej opieki medycznej (vide wyjaśnienia skarżącej w piśmie z dnia [...] sierpnia 2023 r. - k. 3 verte akt administracyjnych), podstawy prawnej uprawniającej skarżącą do zastosowania monitoringu wizyjnego nie stanowi również Załącznik nr [...] pt. "Zespół porodowy" pkt [...] rozporządzenia Ministra Zdrowia z dnia 26 marca 2019 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą. Skarżąca na żadnym etapie postępowania nie twierdziła bowiem, że sale objęte spornym monitoringiem wizyjnym stanowią pomieszczenie przeznaczone dla położnic i noworodka w pierwszych godzinach życia, po porodach powikłanych, w którym zapewnia się możliwość obserwacji bezpośredniej lub przy użyciu kamer wyposażonych w funkcje autostartu, w szczególności możliwość obserwacji twarzy, w rozumieniu przywołanego przepisu. Odnosząc się do zarzutów skargi dotyczących niewzięcia przez organ z urzędu pod uwagę innych ewentualnych podstaw prawnych do przetwarzania przez skarżącą danych osobowych w omawianym zakresie, należy wyjaśnić, że jak wykazała organ w uzasadnieniu zaskarżonej decyzji przepisy prawa powszechnie obowiązującego takiej postawy nie zawierają, a skarżąca tego stanowiska organu w żaden sposób skutecznie nie zakwestionowała. Ponadto, jak wynika z art. 5 ust. 2 rozporządzenia nr 2016/679, to Administrator jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Tymczasem w rozpoznawanej sprawie skarżący nie wykazał skutecznie, że przetwarzała dane osobowe zgodnie z zasadami określonymi w art. 5 ust. 1 rozporządzenia nr [...]. W konsekwencji Sąd uznał za zasadne stanowisko organu, że w rozpoznawanej sprawie doszło do niezgodnego z prawem przetwarzania danych osobowych, w tym danych szczególnej kategorii, poprzez zastosowanie monitoringu wizyjnego na dwóch salach szpitalnych Oddziału [...]. Jako niezasadny należało również ocenić zarzuty skargi dotyczące realizacji przez skarżącą obowiązku informacyjnego poprzez umieszczenie informacji o monitoringu na drzwiach Oddziału [...] oraz zawarcie odpowiednich informacji w klauzuli informacyjnej. Sąd podziela w tym zakresie stanowisko organu, że spełnienie obowiązku informacyjnego, o którym mowa w art. 13 ust. 1 rozporządzenia nr [...], wymaga, by informacja była jasna, precyzyjna i zrozumiała dla odbiorcy. Tymczasem ani z faktu umieszczenia informacji jedynie na drzwiach wejściowych do Oddziału ani z treści pkt 4 klauzuli informacyjnej, w którym wskazano, że monitoringiem wizyjnym objęte są "kluczowe pomieszczenia", nie można wyprowadzić racjonalnego wniosku, że osoby przebywające w dwóch salach szpitalnych Oddziału [...] mogły mieć świadomość, że są objęte monitoringiem wizyjnym, a zatem że administrator przetwarza ich dane osobowe. Konkluzja taka jest tym bardziej zasadna, jeśli wziąć pod uwagę, że urządzenia monitorujące zostały zainstalowane w taki sposób, by osoby monitorowane o tym fakcie nie wiedziały. Sąd uznaje przy tym za całkowicie niewiarygodne wyjaśnienia skarżącej, że instalacja urządzeń monitorujących w postaci kamer ukrytych w zegarach wynikała z konieczności zapewnienia szybkości instalacji oraz zagwarantowania septyki Oddziału. Przechodząc do oceny naruszenia stwierdzonego przez organ w pkt 2 osnowy zaskarżonej decyzji, tj. niezastosowania odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym, Sąd stwierdza, że organ prawidłowo ocenił, że w rozpoznawanej sprawie wystąpiło tak opisane naruszenie. Jak wynika z akt administracyjnych, a czego nie kwestionuje również skarżąca doszło do utraty nośnika danych zawierającego wizerunki oraz dane o stanie zdrowia (bowiem informacja o przebywaniu danej osoby w oddziale szpitalnym sama w sobie stanowi już informację o stanie jej zdrowia). Pnadto, jak ustalił organ, przeprowadzona przez Centrum Medyczne analiza ryzyka nie uwzględniała szczegółowo wyodrębnionych podatności, a zagrożenia związane z przetwarzaniem danych osobowych w związku z prowadzonym monitoringiem wizyjnym nie zostały prawidłowo i wyczerpująco zidentyfikowane. Wśród zawartych w analizie ryzyka postanowień administrator nie wskazał bowiem możliwości wystąpienia zdarzenia polegającego na zagubieniu bądź kradzieży zewnętrznych nośników danych. Zasadnie zatem organ stwierdził, że skarżąca przeprowadziła analizę ryzyka w sposób nieadekwatny, gdyż nie uwzględniła ryzyk związanych z będącym przedmiotem postępowania monitoringiem wizyjnym. Jednocześnie administrator świadomie nie zastosował się do własnych regulacji i procedur związanych z wprowadzeniem monitoringu wizyjnego oraz zabezpieczaniem nośników danych, wynikających zarówno z wdrożonego "Systemu Zarządzania Bezpieczeństwem Informacji", który obejmował również procedurę zabezpieczania nośników informacji, jak i dokumentu zatytułowanego "Opis środków technicznych i organizacyjnych służących zapewnieniu bezpieczeństwa przetwarzaniu danych osobowych w ramach monitoringu wizyjnego w Centrum Medycznym [...]". W tym kontekście należy zatem zgodzić się z organem, że zdarzenie polegające na utracie kart pamięci zawierających dane osobowe przetwarzane wskutek zastosowania spornego monitoringu świadczy o niezastosowaniu przez skarżącą odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych. Odnosząc się do postawionych w skardze zarzutów naruszenia przepisów postępowania polegającego na nieprawidłowym ustaleniu stanu faktycznego sprawy, Sąd zauważa, że stawiając te zarzuty, skarżąca w istocie sama sobie przeczy. Z jednej bowiem strony twierdzi, że konieczne było zainstalowanie monitoringu wizyjnego w celu zapewnienia bezpieczeństwa i właściwego leczenia pacjentów. Zwraca przy tym uwagę na nieprawidłowe zachowania osób przebywających na Oddziale, które mogły prowadzić do zwiększonego poziomu zakażeń. Innymi słowy podnosi, że monitoring miał na celu obserwację, czy nie dochodzi do naruszenia zasad higieny poprzez narażenia pacjentów na kontakt z patogenami. Z drugiej strony skarżąca twierdzi jednak, że organ nie wykazał, by urządzenia monitorujące były skierowane w miejsca, gdzie przebywały dzieci i ich rodzice. Trudno zrozumieć, jaki miałby być cel instalowania urządzeń monitorujących, które miały – jak zdaje się twierdzić skarżąca – wykrywać nieprawidłowe zachowania osób sprawujących opiekę nad dziećmi, jeżeli urządzenia te nie rejestrowałyby właśnie wizerunku tychże osób. Skarżąca jednocześnie w żaden sposób nie wyjaśnia, na czym polegał błąd organu w ustaleniach stanu faktycznego, tj. nie przedstawia, jak stan faktyczny sprawy w istocie jej zdaniem się przedstawiał. Kwestionując ustalenia organu, nie wskazuje, jaki obszar sal objęty był monitoringiem i w jaki sposób zainstalowany w zegarach monitoring spełniał swoją funkcję, jeśli nie rejestrował wizerunku osób przebywających w tych pomieszczeniach. Nie można również zgodzić się z zarzutami skargi, że organ dokonał dowolnej oceny stopnia zagrożenia dla życia i zdrowia noworodków przebywających w monitorowanych pomieszczeniach. Organ w tym zakresie oparł się – jak już wskazywano – na wyjaśnieniach skarżącej, która podkreślała, że w dwóch salach objętych doraźnym monitoringiem przebywały dzieci niewymagające intensywnej terapii, a także przedstawiła charakter zagrożeń związanych z nasileniem infekcji oraz podejmowane działania w celu wyeliminowania tych zagrożeń. Organ nie dokonywał zatem własnych ustaleń wymagających specjalistycznej wiedzy z zakresu medycyny, lecz wyciągnął zasadne – zdaniem Sądu – wnioski z przedstawionych przez organ wyjaśnień co do występujących zagrożeń i możliwych sposobów przeciwdziałania tym zagrożeniom. Zarzuty skarżącej dotyczące ustalenia i oceny przez organ stanu faktycznego w omawianym zakresie są zatem nieuzasadnione. Odnosząc się z kolei do zarzutu skargi dotyczącego nieuprawnionego wyodrębnienia przez organ dwóch naruszeń, za które wymierzono dwie oddzielne kary pieniężne, należy stwierdzić, że organ zasadnie przyjął, że w rozpoznawanej sprawie mamy do czynienia z dwoma osobnymi zdarzeniami. Pierwsze z nich polegało na nieuprawnionej instalacji monitoringu wizyjnego w dwóch salach szpitalnych Oddziału [...] i powiązanym z tym niedopełnieniem obowiązku informacyjnego. Natomiast drugie zdarzenie było związane z utratą danych osobowych zgromadzonych na kartach pamięci, które świadczyło o niezastosowaniu odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu zewnętrznych nośników danych, w celu ochrony zapisanych tam danych osobowych, w tym ich ochrony przed przypadkową utratą, zniszczeniem lub uszkodzeniem oraz ujawnieniem osobom nieuprawnionym. Utrata danych osobowych wskutek niezapewnienia odpowiednich środków technicznych i organizacyjnych stanowi odrębne naruszenie jedynie pośrednio związane z naruszeniem polegającym na niezgodnym z prawem przetwarzaniem danych osobowych. Okoliczność, że utracone dane osobowe zostały pozyskane przez skarżącą (a następnie były przez nią przetwarzane bez podstawy prawnej) nie oznacza, że mamy do czynienia z jednym naruszeniem. Organ prawidłowo zatem wymierzył skarżącej w zaskarżonej decyzji dwie niezależne od siebie kary pieniężne. Biorąc pod uwagę wszystkie wyżej przedstawione okoliczności, Sąd ocenił, że w sprawie organ prawidłowo ustalił, iż doszło do wskazanych naruszeń przepisów rozporządzenia nr [...], za które to naruszenia wymierzył karę adekwatną, uwzględniając prawidłowo okoliczności wskazane w art. 83 ust. 2 rozporządzenia nr [...]. Nie można przy tym zgodzić się ze skarżącą, że organ powinien uwzględnić jako okoliczności łagodzące brak zaistnienia szkody, niską liczba osób objętych zdarzeniem, stosowanie certyfikacji ISO, wreszcie stan zagrożenia życia i zdrowia noworodków, czyli konieczność ochrony żywotnych interesów dzieci. W ocenie Sądu, dokonywanie bez wiedzy osób zainteresowanych i bez podstawy prawnej utrwalania wizerunku dzieci i ich opiekunów przebywających w pomieszczeniach szpitalnych, w tym również podczas takich intymnych czynności jak np. karmienie dzieci, a następnie utrata tych danych, która może skutkować ich ujawnianiem w obiegu publicznym świadczy o wystąpieniu w tej sprawie znacznej szkody dla pacjentów i członków ich rodzin. Nie można również zgodzić się ze skarżącą, że liczba osób objętych zdarzeniem była niewielka, skoro, jak przyznała skarżąca, doszło do naruszenia ochrony danych osobowych 190 osób. Sąd nie podziela stanowiska skarżącej, że liczba ta jest niewielka, nawet jeżeli wziąć pod uwagę, że w innych postępowaniach prowadzonych przed organem doszło do naruszenia przepisów o ochronie danych osobowych dotyczących znacznie większej liczby osób. Dokonywanie przez skarżącą tego rodzaju porównań jest nieuprawnione. Fakt stosowania certyfikacji ISO nie przemawia również za złagodzeniem nałożonej kary, zwłaszcza biorąc pod uwagę, że stwierdzone przez organ naruszenia stoją w jawnej sprzeczności ze stosowanym przez skarżącą Systemem Zarządzania Bezpieczeństwem Informacji. Jeśli zaś chodzi o konieczność ochrony zdrowia i życia noworodków, to jak wskazano wyżej – zdaniem Sądu – organ zasadnie ocenił, że przetwarzanie danych osobowych w omawianym zakresie nie było niezbędnym warunkiem dla zapewnienia właściwej opieki nad pacjentami należącej do skarżącej placówki medycznej. Zdaniem Sądu, organ prawidłowo ocenił zatem wszystkie wskazane w art. 83 ust. 2 rozporządzenia nr 2016/679 przesłanki mające wpływ na wymiar kary, a także określił jej wysokość w sposób proporcjonalny do stwierdzonego naruszenia, stosując właściwie metodykę przyjętą przez EROD w Wytycznych [...] i wymierzył karę w granicach określonych w art. 83 ust. 5 rozporządzenia nr [...]. Nie można przy tym – jak czyni to skarżąca – skutecznie zarzucać organowi odejście w zakresie wymiaru kary od ustalonej praktyki, bowiem – co oczywiste – każda sprawa jest rozpatrywana przez organ indywidualnie, z uwzględnieniem charakteru naruszenia, a także wszystkich przesłanek wskazywanych w art. 83 rozporządzenia nr [...]. W sprawie nie doszło zatem również do naruszenia art. 8 k.p.a. Z powyższych przyczyn Sąd przyjął, że zaskarżona decyzja nie narusza zarówno przepisów prawa procesowego, jak i materialnego w stopniu uzasadniającym jej uchylenie, co skutkowało w konsekwencji oddaleniem skargi. Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 ze zm.), orzekł jak w sentencji.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 12.07.2026. · Źródło