Ponad 85 tys. zł kary od Urzędu Ochrony Danych Osobowych (UODO) otrzymał przedsiębiorca, który nie wykonał nakazu wydanego w decyzji administracyjnej tego organu. Jest to pierwsza tego rodzaju sankcja nałożona przez urząd.
Ukarana firma świadczy usługi medyczne. Ponieważ doszło u niej do naruszeń w ochronie danych osobowych, UODO nakazał zawiadomić o tym pacjentów. Przedsiębiorca tego nie zrobił, co wykazało postępowanie, którego celem było sprawdzenie, czy obowiązki nałożone w decyzji organu zostały zrealizowane.
We wspomnianym zawiadomieniu pacjenci powinni otrzymać opis charakteru naruszenia i możliwych jego skutków, informacje o działaniach podjętych przez firmę i proponowanych przez nią sposobach zaradzenia potencjalnym zagrożeniom. Ponadto należało przedstawić dane inspektora ochrony danych osobowych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji.
Firma zignorowała decyzję organu i pacjenci nie wiedzieli, że doszło do naruszenia. Z informacji UODO wynika, że przedsiębiorca otrzymał od tego organu wskazówki dotyczące sformułowania zawiadomień, formy ich przekazania i sposobu udokumentowania tych czynności. Jednak nawet podczas postępowania w sprawie nałożenia kary nie przedstawił dowodów, które pozwoliłyby uznać, że obowiązek wynikający z nakazu został przez niego wykonany.
Ustalając wysokość kary, UODO wziął pod uwagę dwa czynniki obciążające firmę. Po pierwsze, zwrócił uwagę na długi okres trwania naruszeń, co spowodowało zwiększone ryzyko powstania negatywnych konsekwencji dla pacjentów. Po drugie, wskazał na umyślny charakter nieprawidłowości w ochronie danych osobowych i niezadowalający stopień współpracy z organem nadzorczym w celu ich usunięcia, gdyż przedsiębiorca nie stosował się do zaleceń urzędu w trakcie postępowania.