Jak podaje w swoim komunikacie Urząd Ochrony Danych Osobowych, w otrzymanym przez jednego z pacjentów Uniwersyteckiego Centrum Klinicznego skierowaniu na badania znajdowały się dane osobowe innej osoby takie jak jej imię, nazwisko, pełen adres zamieszkania czy dane wrażliwe w postaci informacji o stanie zdrowia. Wśród udostępnionych danych był także numer PESEL, który, zdaniem Prezesa UODO, jest „unikalnym identyfikatorem osoby, zawierającym w sobie wiele informacji na temat danej osoby, a jego ujawnienie osobie niepowołanej może rodzić szereg konsekwencji dla takiej osoby”. Mimo że początkowo administrator danych osobowych stwierdził, że dane osobowe znajdujące się na skierowaniu nie należą do żadnego pacjenta placówki i zostały tam wpisane całkowicie przypadkowo, Urząd Ochrony Danych Osobowych oceniając incydent zauważył, że wszystkie informacje poza imieniem dotyczą jednej osoby, zatem należy uznać, że zdarzenie dotyczy konkretnej osoby. Administrator danych był świadomy incydentu, uznał jednak, za mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych w związku z czym nie zawiadomił o zdarzeniu osoby, której dane dotyczą. W odpowiedzi na skierowane do niego przez Prezesa UODO pismo poinformował, że „po dokonaniu wstępnej, uproszczonej analizy poziomu ryzyka zdarzenia, ze względu na jego zakres przedmiotowo-podmiotowy (potencjalnie pokrzywdzona została jedna osoba fizyczna, której to dane ujawnione zostały jednej, możliwej do zidentyfikowania osobie w wąskim i błędnym zakresie)” zakwalifikował je jako incydent bezpieczeństwa.
Prezes UODO w swojej decyzji potwierdził, że doszło do ujawnienia danych osobowych pacjenta osobie nieuprawnionej przez błędne wpisanie przez lekarza na skierowaniu danych osobowych innej osoby. Co więcej, udostępniono nie tylko zwykłe, ale także szczególne kategorie danych, jakimi są dane na temat stanu zdrowia, w tym przypadku informacje o rozpoznaniu i celu porady lekarskiej. Zaniechanie poinformowania
o naruszeniu osób, których dane dotyczą zostało uznane za celowe, ponieważ nie doszło do niego mimo otrzymania od Urzędu Ochrony Danych Osobowych pism dotyczących wysokiego ryzyka naruszenia praw i wolności osób fizycznych.
Ryzyko zostało uznane za wysokie, ponieważ zgodnie z Wytycznymi Grupy Roboczej: „ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone.
Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. Dodatkowo, w ocenie UODO administrator danych musiał przewidywać ryzyko związane ze zdarzeniem, ponieważ „przeprowadził audyt wizyjny, połączony z zebraniem wyjaśnień od osób wykonujących czynności w obszarze wystąpienia incydentu, tj. gabinecie lekarza, który wystawił skierowanie do poradni specjalistycznej”. Za okoliczność dodatkowo obciążającą administratora uznany został długi, wynoszący kilkanaście miesięcy, czas trwania naruszenia. Ponadto, współpraca administratora z Urzędem Ochrony Danych Osobowych została uznana
za niezadowalającą.
W związku z powyższym i biorąc pod uwagę powagę naruszenia, Prezes Urzędu Ochrony Danych Osobowych w decyzji z 6 lipca 2022 r., uznał karę pieniężną w wysokości 10 000 zł za spełniającą warunki z artykułu 83 RODO.