Autoritatea Națională de Supraveghere a finalizat în luna februarie 2023 două investigații la operatori din domeniul medical.
Investigațiile au fost demarate ca urmare a unor sesizări primite din partea unor persoane fizice care au reclamat o posibilă încălcare a Regulamentului (UE) 2016/679.
Ca atare, s-a constatat că:
Operatorul Centrul Medical dr. Furtună Dan a încălcat dispozițiile art. art. 32 alin. (1) lit. b) și art. 32 alin. (2) din Regulamentul (UE) 2016/679 și a fost sancționat contravențional cu amendă în cuantum de 4.918,50 RON (echivalentul sumei de 1000 EURO).
În cadrul investigației, Autoritatea Națională de Supraveghere a constatat faptul că operatorul Centrul Medical dr. Furtună Dan a transmis pe numărul de telefon al unei persoane fizice, prin aplicația WhatsApp, un mesaj ce conținea rezultatul a două teste medicale care aparțineau altor două persoane vizate.
Din verificările efectuate, a rezultat că operatorul Centrul Medical dr. Furtună Dan nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.
În consecință, această încălcare a condus la încălcarea confidențialității datelor prelucrate prin divulgarea neautorizată și accesul neautorizat la anumite date cu caracter personal (cum ar fi: numele și prenumele, CNP-ul, numărul de telefon, rezultatul testelor medicale) transmise prin aplicația WhatsApp.
În același timp, operatorului i s-a aplicat și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal. Totodată, s-a dispus ca operatorul să implementeze un registru referitor la toate cazurile de încălcare a securității datelor cu caracter personal, care să cuprindă o descriere a situației de fapt referitoare la încălcarea securității datelor cu caracter personal, a efectelor acesteia și precizarea măsurilor de remediere întreprinse, potrivit art. 33 alin. (5) din Regulamentul (UE) 2016/679.
Sursa: A.N.S.P.D.C.P