Naruszenie polegało na nieuprawnionym kopiowaniu przez byłego pracownika danych osobowych 100 pacjentów z systemu informatycznego przychodni w celu wykorzystania ich do marketingu własnych usług. Naruszenie dotyczyło następujących kategorii danych osobowych pacjentów: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) wezwał placówkę do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania im zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.

Następnie PUODO wezwał placówkę m.in. do przedstawienia wykazu osób, którym przekazano ww. informacje o naruszeniu i zaleceń oraz informacji o sposobie ich przekazania oraz dowodów na ich przekazanie (kopii 10 przykładowych zawiadomień wraz z potwierdzeniem ich nadania).

Placówka w odpowiedzi wskazała, że nie jest w stanie takiej listy stworzyć, gdyż nie posiada wiedzy, których pacjentów dane zebrał były pracownik, zaś w placówce leczy się znacznie więcej osób, na skutek czego powiadomienie wszystkich o możliwości naruszenia ich danych osobowych było niewykonalne. Na skutek tego pacjenci nic nie wiedzieli o naruszeniu danych.

Zdaniem PUODO właściwe wywiązanie się z tego obowiązku pozwoliłoby pacjentom:
- zrozumieć, na czym polegało naruszenie ochrony ich danych osobowych;
- poznać możliwe konsekwencje zdarzenia; 
- dowiedzieć się, jakie działania mogą podjąć w celu zminimalizowania ewentualnych negatywnych skutków.  

Zgodnie z art. 34 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie powinno zostać sformułowane jasnym i prostym językiem - powinno zawierać co najmniej następujące informacje:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

W innej sprawie PUODO (decyzja z 20 listopada 2018 r.) wskazał, że zawiadomienia przesłane do osób, których dane dotyczą, nie są prawidłowe, jeżeli nie zawierają dostatecznego opisu możliwych negatywnych konsekwencji naruszenia ochrony danych osobowych, na jakie mogą być narażone osoby, których dane dotyczą, oraz proponowanych przez administratora środków w celu zminimalizowania negatywnych skutków naruszenia.

Karol Kolankiewicz jest adwokatem - członkiem Pomorskiej Izby Adwokackiej w Gdańsku; współzałożyciel Instytutu – Specjaliści Prawa Ochrony Zdrowia; od 2008 roku nieprzerwanie świadczy pomoc prawną dla Okręgowej Izby Lekarskiej w Gdańsku; świadczy także usługi doradztwa prawnego dla podmiotów leczniczych; specjalizuje się w sprawach związanych z prawem medycznym i ochroną danych osobowych, jak również w sprawach karnych, odszkodowawczych oraz związanych z ochroną dóbr osobistych; prowadzi szkolenia z zakresu prawa medycznego, karnego oraz z zakresu ochrony danych medycznych; autor licznych publikacji z zakresu prawa medycznego.