Czy podmiotowi leczniczemu jako zleceniodawcy grożą sankcje z powodu naruszeń ochrony danych danych przez lekarza prowadzącego działalność gospodarczą w formie indywidualnej praktyki lekarskiej będącego zleceniobiorcą?

Podmiot leczniczy (zleceniodawca), będący osobą fizyczną prowadzącą działalność gospodarczą, w ramach tej działalności zawarł umowę zlecenia z lekarzem prowadzącym działalność gospodarczą w formie indywidualnej praktyki lekarskiej (zleceniobiorca). Zleceniobiorca został pisemnie upoważniony do dostępu oraz przetwarzania danych osobowych w zakresie obowiązków służbowych, otrzymał wykaz czynności, do których jest upoważniony w zakresie przetwarzania danych oraz złożył pisemne oświadczenie, w którym zobowiązał się do zachowania w tajemnicy danych osobowych, niewykorzystywania ich w celach pozasłużbowych i korzystania ze sprzętu IT i oprogramowania wyłącznie w celach służbowych. Zleceniobiorca, w trakcie okresu wypowiedzenia umowy, zaczął naruszać swoje zobowiązanie poprzez kopiowanie danych osobowych pacjentów (co najmniej imię, nazwisko i nr telefonu) dla swoich celów prywatnych, przejawiających się w wysyłaniu pacjentom informacji sms o zakończeniu współpracy ze zleceniodawcą i rozpoczęciu pracy w innym miejscu.

Co w takiej sytuacji powinien zrobić zleceniodawca? Czy zleceniodawcy grożą jakieś sankcje z powodu naruszeń RODO przez jego zleceniobiorcę?