Clinica medicala sanctionata pentru divulgarea neautorizata a datelor pacientilor

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în ianuarie 2025, o investigație asupra operatorului Medstar S.R.L., constatând încălcări grave ale Regulamentului (UE) 2016/679 (GDPR). Operatorul a fost sancționat pentru încălcarea articolelor 32, 33 și 34 din GDPR, din cauza gestionării necorespunzătoare a datelor personale ale pacienților.

Sancțiuni aplicate Medstar S.R.L.

-Amendă de 9.946,2 Lei (echivalentul a 2.000 Euro) pentru încălcarea dispozițiilor art. 32 GDPR privind măsurile de securitate a datelor.

-Avertisment pentru încălcarea dispozițiilor art. 33 și 34 GDPR, referitoare la notificarea încălcării securității datelor.

Cauza investigației

Plângerea depusă de un pacient a dus la deschiderea investigației, după ce acesta a sesizat că datele sale medicale, împreună cu cele ale altei persoane, au fost divulgate în mod eronat și nesecurizat prin e-mail.

În urma investigației, s-a constatat că:

-Medstar S.R.L. a dezvăluit informații sensibile privind starea de sănătate a petentei către un alt pacient.

-Datele medicale ale unui alt pacient au fost transmise, din greșeală, petentei prin poșta electronică.

-Informațiile compromise includ nume, prenume, CNP, vârstă, sex, localitate, telefon, e-mail, date medicale, tipul analizelor, medicul curant, rezultatele testelor, recomandările medicale și tratamentele prescrise.

Nereguli și măsuri corective impuse

Autoritatea a concluzionat că Medstar S.R.L. nu a implementat măsuri tehnice și organizatorice adecvate pentru protecția datelor, conform art. 32 GDPR. De asemenea, operatorul nu a notificat incidentul către ANSPDCP și nici persoanele vizate, ceea ce a condus la sancțiunile impuse.

Măsuri corective stabilite de ANSPDCP:

-Implementarea unor măsuri de securitate adecvate pentru protecția datelor personale pe întregul ciclu de prelucrare.

-Adoptarea unor reguli stricte pentru gestionarea fișierelor transmise prin mijloace electronice.

-Instruirea personalului privind protecția datelor și monitorizarea respectării regulilor interne.

-Automatizarea proceselor pentru a reduce riscurile de divulgare neautorizată.

-Crearea unui sistem intern de detectare și raportare rapidă a incidentelor de securitate.

-Informarea persoanelor afectate despre încălcarea securității datelor conform art. 34 GDPR.

-Solicitarea ca persoanele care au primit datele în mod eronat să nu le utilizeze și să le șteargă imediat.

Importanța implementării corecte a GDPR

Acest caz subliniază necesitatea ca operatorii să implementeze măsuri stricte de securitate a datelor și să respecte obligațiile GDPR privind notificarea incidentelor. Companiile care procesează date personale trebuie să fie proactive în protejarea informațiilor pentru a evita sancțiuni similare.

Dacă ai nevoie de suport în implementarea GDPR și protecția datelor în compania ta, echipa noastră de experți te poate ajuta să asiguri conformitatea cu legislația în vigoare.