Kontrola byla zahájena na základě plánu kontrol na rok 2019 a předcházejících stížností, souvisejících s ambulantním informačním systémem, se zaměřením zejména na plnění povinností týkajících se práv subjektů údajů (zejména čl. 5, 6, 9 a čl. 12 až 23) a zabezpečení zpracovávaných osobních údajů ve smyslu čl. 30 a 32 nařízení (EU) 2016/679.
Kontrolovaná osoba, jako poskytovatel zdravotních služeb, zpracovává osobní údaje [čl. 4 odst. 1 nařízení (EU) 2016/679] a osobní údaje zvláštní kategorie [čl. 9 odst. 2 nařízení (EU) 2016/679] svých pacientů v souvislosti s vydáváním elektronických receptů (e-recept) na základě plnění právní povinnosti [čl. 6 odst. 1 písm. f nařízení (EU) 2016/679] stanovené mu zákonem č. 378/2008 Sb., o léčivech.
Kontrolovaná osoba za tímto účelem uzavřela prostřednictvím externí společnosti smlouvu s poskytovatelem softwarové aplikace ambulantního informačního systému, přičemž o zpracování osobních údajů neposkytla svým pacientům, resp. jejich zákonným zástupcům informaci v rozsahu dle čl. 12 odst. 1 nařízení (EU) 2016/679, neměla uzavřenu řádnou smlouvu se skutečným poskytovatelem softwarových služeb (o tomto poskytovateli vůbec nevěděla), čímž porušila povinnost dle čl. 28 odst. 2 nařízení (EU) 2016/679, protože do zpracování zapojila další tři zpracovatele bez obecného písemného povolení a současně porušila povinnost dle čl. 28 odst. 3 nařízení (EU) 2016/679, protože nedisponovala smlouvou ani pověřením ke zpracování osobních údajů zpracovatelem. Tímto jednáním porušila povinnost dle čl. 5 odst. 1 písm. a) nařízení (EU) 2016/679, protože ve vztahu ke svým pacientům porušila povinnost zpracovávat jejich osobní údaje transparentně.
