Urząd Ochrony Danych Osobowych po raz pierwszy zdecydował się nałożyć na przedsiębiorcę karę administracyjną w związku z niedostosowaniem się do nakazów zawartych w jego decyzji.
Sprawa dotyczyła firmy, w której w 2019 r. doszło do nieuprawnionego skopiowania danych osobowych 100 pacjentów przez byłego pracownika przychodni. Do celów marketingowych w bezprawny sposób wykorzystane zostały m.in.: numery PESEL, adresy zamieszkania, numery telefonów oraz daty urodzenia. Przedsiębiorca prowadzący przychodnię nie zdecydował się jednak na poinformowanie pacjentów o tym fakcie. Prezes UODO wezwał go do postępowania zgodnie z przepisami, jednak bez skutku. Następnie wydana została decyzja administracyjna, w której zobowiązano przedsiębiorcę do poinformowania zainteresowanych o wycieku ich danych i zaleceniach co do dalszego postępowania w tej sprawie. Powiadomienia do pacjentów jednak nie dotarły, a w przychodni wytłumaczono to tym, że obecni pracownicy nie wiedzą, których konkretnie osób dotyczyło naruszenie.
Ponieważ kierowane przez prezesa UODO upomnienia nie przyniosły efektów, na przedsiębiorcę nałożono karę pieniężną w wysokości 85 588 zł. Jak uzasadniono szczegółowo w decyzji administracyjnej, na tak wysoką kwotę miała wpływ zwłaszcza umyślność nieprzestrzegania nałożonego wcześniej nakazu i całkowity brak przynajmniej chęci współpracy z urzędem. Nie mniej istotny był również fakt, że bezprawnie skopiowane dane dotyczyły pacjentów, którzy powinny być szczególnie chronieni – zwłaszcza przez podmiot odpowiedzialny za opiekę medyczną. Jak podkreślono w decyzji, tak nieprofesjonalne zachowanie przychodni przetwarzającej dane medyczne trzeba uznać za wyjątkowo naganne.
