La DPA polonaise (UODO) a infligé une amende de 19 000 euros à un exploitant d'un hôpital. Un ancien employé avait illégalement copié les données personnelles de 100 patients à partir du réseau informatique de l'hôpital. Les données divulguées comprenaient le numéro de sécurité sociale, le nom, la date de naissance, l'adresse et le numéro de téléphone des personnes concernées. Bien que la responsable du traitement ait estimé que le risque potentiel pour les personnes concernées était élevé, elle n'avait pas informé les personnes concernées de l'incident. La DPA a ensuite demandé au responsable du traitement d'informer immédiatement les personnes concernées de l'incident et de leur fournir des conseils sur la manière de minimiser l'impact négatif potentiel de la violation. Cependant, le responsable du traitement n'a pas donné suite à cette demande.