Informacijski pooblaščenec v mnenju pojasnjuje, da mora prejemnik, ki po pomoti prejme dokument z zdravstvenimi podatki druge osebe, najprej opozoriti pošiljatelja ter ga pozvati, naj pojasni namen in pravno podlago za posredovanje teh podatkov. Če ustrezna pravna podlaga ni izkazana, IP priporoča, da se dokument nepovratno izbriše ter da se podatkov ne razkriva ali posreduje drugim osebam.
Upravljavec mora imeti za vsako obdelavo in posredovanje osebnih podatkov jasno, zakonito in ustrezno pravno podlago. Posebej stroga pravila veljajo pri podatkih o zdravju, saj ti sodijo med posebne vrste osebnih podatkov, katerih obdelava je dovoljena le pod pogoji iz 9. člena Splošne uredbe o varstvu podatkov.
V obravnavanem primeru je javni zavod tretji osebi posredoval dokument, ki je vseboval zdravstvene podatke posameznika. Pred posredovanjem bi moral preveriti, ali za takšno ravnanje obstaja ustrezna pravna podlaga, ter upoštevati načelo najmanjšega obsega podatkov. To pomeni, da se lahko obdelujejo in posredujejo le tisti podatki, ki so ustrezni, relevantni in nujno potrebni za dosego konkretnega zakonitega namena.
Za presojo, ali je treba dogodek prijaviti Informacijskemu pooblaščencu, je odgovoren upravljavec, ki je podatke posredoval. Ta mora kršitev praviloma prijaviti najpozneje v 72 urah po seznanitvi z njo, razen kadar ni verjetno, da bi bile zaradi kršitve ogrožene pravice in svoboščine posameznikov. Če obstaja veliko tveganje, mora o dogodku brez nepotrebnega odlašanja obvestiti tudi posameznika na katerega se podatki nanašajo.
Prejemnik podatkov lahko pri IP vloži prijavo, če meni, da upravljavec osebne podatke obdeluje nezakonito, zlasti če zazna več podobnih primerov.
Več si lahko preberete tukaj.