16.03.2023
Sancțiuni pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a finalizat în luna februarie 2023 două investigații la operatori din domeniul medical.
Investigațiile au fost demarate ca urmare a unor sesizări primite din partea unor persoane fizice care au reclamat o posibilă încălcare a Regulamentului (UE) 2016/679.
Ca atare, s-a constatat că:
- Operatorul Centrul Medical dr. Furtună Dan a încălcat dispozițiile art. art. 32 alin. (1) lit. b) și art. 32 alin. (2) din Regulamentul (UE) 2016/679 și a fost sancționat contravențional cu amendă în cuantum de 4.918,50 RON (echivalentul sumei de 1000 EURO).
- Operatorul Med Life S.A. a încălcat dispozițiile art. art. 32 alin. (1) lit. b) și art. 32 alin. (2) și alin. (4) din Regulamentul (UE) 2016/679 și a fost sancționat cu amendă în cuantum de 14.755,50 lei (echivalentul sumei de 3000 EURO).
1. În cadrul investigației, Autoritatea Națională de Supraveghere a constatat faptul că operatorul Centrul Medical dr. Furtună Dan a transmis pe numărul de telefon al unei persoane fizice, prin aplicația WhatsApp, un mesaj ce conținea rezultatul a două teste medicale care aparțineau altor două persoane vizate.
Din verificările efectuate, a rezultat că operatorul Centrul Medical dr. Furtună Dan nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.
În consecință, această încălcare a condus la încălcarea confidențialității datelor prelucrate prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal (cum ar fi: numele și prenumele, CNP-ul, numărul de telefon, rezultatul testelor medicale) transmise prin aplicația WhatsApp.
În același timp, operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal. Totodată, s-a dispus ca operatorul să implementeze un registru referitor la toate cazurile de încălcare a securității datelor cu caracter personal, care să cuprindă o descriere a situației de fapt referitoare la încălcarea securității datelor cu caracter personal, a efectelor acesteia și precizarea măsurilor de remediere întreprinse, potrivit art. 33 alin. (5) din Regulamentul (UE) 2016/679.
2. În cadrul investigației efectuate la operatorul Med Life S.A., în urma unei sesizări, s-a constatat că un pacient a primit, prin e-mail, pe lângă buletinul de investigație propriu, și o serie de fișiere atașate care conțineau rezultatele unor investigații ce aparțineau altor cinci pacienți. Documentele atașate conțineau numele, prenumele, data nașterii, data examinării, motivul examinării, rezultatul investigației (examinării), diagnostic, concluziile rezultate în urma examinării medicale.
Ca atare, a rezultat că operatorul Med Life S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, generat în special, în mod accidental sau ilegal, de divulgarea neautorizată a datelor cu caracter personal stocate sau prelucrate într-un alt mod, incluzând capacitatea de a asigura confidențialitatea acestora.
De asemenea, s-a constatat că Med Life SA nu a luat măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului şi care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului.
În temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus operatorului și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unei proceduri de notificare a încălcării securității datelor cu caracter personal.
Direcția juridică și comunicare
A.N.S.P.D.C.P