Consultanta

O noua amenda GDPR...Med Life S.A

Autoritatea Națională de Supraveghere a finalizat în luna februarie 2023 două investigații la operatori din domeniul medical.

Investigațiile au fost demarate ca urmare a unor sesizări primite din partea unor persoane fizice care au reclamat o posibilă încălcare a Regulamentului (UE) 2016/679.

Ca atare, s-a constatat că:

Operatorul Med Life S.A. a încălcat dispozițiile art. art. 32 alin. (1) lit. b) și art. 32 alin. (2) și alin. (4) din Regulamentul (UE) 2016/679 și a fost sancționat cu amendă în cuantum de 14.755,50 lei (echivalentul sumei de 3000  EURO).

În cadrul investigației efectuate la operatorul Med Life S.A., în urma unei sesizări, s-a constatat că un pacient a primit, prin e-mail, pe lângă buletinul de investigație propriu, și o serie de fișiere atașate care conțineau rezultatele unor investigații ce aparțineau altor cinci pacienți. Documentele atașate conțineau numele, prenumele, data nașterii, data examinării, motivul examinării, rezultatul investigației (examinării), diagnostic, concluziile rezultate în urma examinării medicale.

 

Ca atare, a rezultat că operatorul Med Life S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrare, generat în special, în mod accidental sau ilegal, de divulgarea neautorizată a datelor cu caracter personal stocate sau prelucrate într-un alt mod, incluzând capacitatea de a asigura confidențialitatea acestora.

 

De asemenea, s-a constatat că Med Life SA nu a luat măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea operatorului şi care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului.

 

În temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679,  s-a dispus operatorului și măsura corectivă de a revizui și actualiza măsurile tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unei proceduri de notificare a încălcării securității datelor cu caracter personal.

Sursa: A.N.S.P.D.C.P