Centre medicale private, amendate pentru incalcarea GDPR. Datele pacientilor, divulgate fara drept pe WhatsApp sau prin e-mail

Doua centre medicale private au fost amendate de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal, ca urmare a unor sesizari primite din partea unor persoane fizice care au reclamat o posibila incalcare a Regulamentului (UE) 2016/679.

Potrivit unui comunicat al ANSPDCP, in cazul operatorului Centrul Medical dr. Furtuna Dan s-a constatat ca a incalcat dispozitiile art. art. 32 alin. (1) lit. b) si art. 32 alin. (2) din Regulamentul (UE) 2016/679, prin urmare a fost sanctionat contraventional cu amenda in cuantum de 4.918,50 RON (echivalentul sumei de 1000 EURO)

In cel de-al doilea caz, operatorul MedLife S.A. a incalcat dispozitiile art. art. 32 alin. (1) lit. b) si art. 32 alin. (2) si alin. (4) din Regulamentul (UE) 2016/679 si a fost sanctionat cu amenda in cuantum de 14.755,50 lei (echivalentul sumei de 3000  EURO).

...afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea ...click pentru detalii si comenzi<<

1. In cadrul investigatiei, Autoritatea Nationala de Supraveghere a constatat faptul ca operatorul Centrul Medical dr. Furtuna Dan a transmis pe numarul de telefon al unei persoane fizice, prin aplicatia WhatsApp, un mesaj ce continea rezultatul a doua teste medicale care apartineau altor doua persoane vizate.

Din verificarile efectuate, a rezultat ca operatorul Centrul Medical dr. Furtuna Dan nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii, incluzand capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea  si rezistenta continue ale sistemelor si serviciilor de prelucrare.

In consecinta, aceasta incalcare a condus la incalcarea confidentialitatii datelor prelucrate prin divulgarea neautorizata si accesul neautorizat la anumite date cu caracter personal (cum ar fi: numele si prenumele, CNP-ul, numarul de telefon, rezultatul testelor medicale) transmise prin aplicatia WhatsApp.

In acelasi timp, operatorului i s-a aplicat si masura corectiva de a revizui si actualiza masurile tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor de lucru referitoare la protectia datelor cu caracter personal. Totodata, s-a dispus ca operatorul sa implementeze un registru referitor la toate cazurile de incalcare a securitatii datelor cu caracter personal, care sa cuprinda o descriere a situatiei de fapt referitoare la incalcarea securitatii datelor cu caracter personal, a efectelor acesteia si precizarea masurilor de remediere intreprinse, potrivit art. 33 alin. (5) din Regulamentul (UE) 2016/679.

...afla mai multe despre prevederile GDPR si ce masuri trebuie sa iei pentru a avea siguranta ca respecti legea ...click pentru detalii si comenzi<<

2. In cadrul investigatiei efectuate la operatorul MedLife S.A., in urma unei sesizari, s-a constatat ca un pacient a primit, prin e-mail, pe langa buletinul de investigatie propriu, si o serie de fisiere atasate care contineau rezultatele unor investigatii ce apartineau altor cinci pacienti. Documentele atasate contineau numele, prenumele, data nasterii, data examinarii, motivul examinarii, rezultatul investigatiei (examinarii), diagnostic, concluziile rezultate in urma examinarii medicale.

Ca atare, a rezultat ca operatorul Med Life S.A. nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prezentat de prelucrare, generat in special, in mod accidental sau ilegal, de divulgarea neautorizata a datelor cu caracter personal stocate sau prelucrate intr-un alt mod, incluzand capacitatea de a asigura confidentialitatea acestora.

De asemenea, s-a constatat ca Med Life SA nu a luat masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la datele cu caracter personal nu le prelucreaza decat la cererea operatorului.

In temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679,  s-a dispus operatorului si masura corectiva de a revizui si actualiza masurile tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor de lucru referitoare la protectia datelor cu caracter personal, precum si implementarea unei proceduri de notificare a incalcarii securitatii datelor cu caracter personal.