Urząd Ochrony Danych Osobowych (UODO) nakazał lecznicy, by zawiadomiła swoich pacjentów o naruszeniu ich danych osobowych oraz przekazała im zalecenia dotyczące zminimalizowania negatywnych skutków tego incydentu. Administrator tego nie zrobił - stwierdził UODO.

W konsekwencji osoby, których dotyczyło naruszenie, nic o nim nie wiedziały. W zawiadomieniu, miały znaleźć się takie informacje, jak:

a) opis charakteru naruszenia danych osobowych;

b) imię i nazwisko oraz dane kontaktowe do inspektora ochrony danych osobowych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opis możliwych konsekwencji naruszenia ochrony danych osobowych;

d) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków.

Czytaj też: Kolejna spółka zapłaci karę za brak współpracy z UODO

- Właściwe wywiązanie się z tego obowiązku pozwoliłoby zrozumieć osobom, których dane dotyczą, na czym polegało naruszenie ochrony ich danych osobowych, poznać możliwe konsekwencje takiego zdarzenia oraz jakie działania mogą podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków - wskazuje UODO.

Urząd podkreśla, że przedsiębiorca - pomimo udzielenia mu przez Urząd szczegółowych wskazówek, m.in. dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania pacjentom, a także sposobu udokumentowania tych czynności - nawet na etapie postępowania w sprawie nałożenia kary nie przedstawił kompletnych dowodów, które pozwoliłyby uznać, że obowiązek wynikający z nakazu decyzji został przez niego wykonany.

- Niezastosowanie się przez przedsiębiorcę do udzielanych przez Urząd wskazówek, świadczy o rażącym lekceważeniu przez niego obowiązków związanych z ochroną danych osobowych - twierdzi UODO.

Za zignorowanie decyzji Urząd ukarał przedsiębiorcę. Na wysokość kary wpłynęły czynniki obciążające tj. długotrwały okres trwania naruszenia, co spowodowało zwiększone ryzyko zaistnienia negatywnych konsekwencji po stronie osób dotkniętych naruszeniem oraz umyślny charakter naruszenia i niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia – przedsiębiorca nie stosował się do zaleceń Urzędu w trakcie postępowania.