Dále byla provedena kontrola jedné středočeské nemocnice, a to na základě podnětu, který Úřadu předala jedna zdravotní pojišťovna. Předmětem kontroly bylo podezření, že v rámci vymáhání náhrady škody vzniklé při léčbě poškozené pacientky byly předloženy informace pořízené neoprávněně z nemocničního informačního systému. Kontrolou bylo zjištěno, že žena, po které pojišťovna vymáhala úhradu léčebných nákladů, použila informace z nemocničního informačního systému obsahující osobní údaje a citlivé údaje poškozené pacientky. Dále bylo zjištěno, že tato žena současně pracuje v příslušné nemocnici na úseku, který komunikuje s jednotlivými zdravotními pojišťovnami za nemocnici, a že si v rozporu s obecnou povinností nakládání se zdravotnickou dokumentací podle zákona o péči o zdraví lidu a obecnou povinností upravenou zákonem o ochraně osobních údajů vyhledala a následně vytiskla informace ze zdravotní dokumentace. V rámci kontroly byla posuzována i otázka, jakým způsobem zabezpečila nemocnice ochranu informací uložených v nemocničním informačním systému. Nemocnice nebyla schopna zpětně vyhledat a doložit informace o osobách, které nahlížely prostřednictvím IT systému do databáze pacientů a do jednotlivých zdravotnických dokumentací. Proto bylo konstatováno, že nemocnice nesplnila povinnost uloženou jí zákonem o ochraně osobních údajů, a to aby v oblasti automatizovaného zpracování osobních údajů zajistila přístup pouze osobám, které jej využívají na základě svého oprávnění, a aby takové oprávněné osoby měly přístup pouze k osobním údajům odpovídajícím stanoveným oprávněním. Kontrolou bylo rovněž zjištěno, že nemocnice jako provozovatel nemocničního informačního systému nezajistila logování, čímž porušila povinnost uloženou zákonem o ochraně osobních údajů, a tím tedy umožnila zneužití osobních údajů bez možnosti jejich následného dohledání, čímž současně jako správce osobních údajů nesplnila povinnost uloženou zákonem o ochraně osobních údajů - přijmout taková technicko-organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití. V tomto konkrétním případě kontrolovaná nemocnice tento nedostatek napravila již v průběhu kontroly.
