Autoritatea Națională de Supraveghere anunță că a demarat o investigație ca urmare a unei plângeri formulate de o persoană care a reclamat faptul că operatorul Kredyt Inkaso Investments RO S.A. a dezvăluit datele sale personale și ale copilului său minor către anumite unități medicale.
În cadrul investigației efectuate, s-a constatat că operatorul a dezvăluit datele petentei (adresa de domiciliu, cod numeric personal, funcția deținută, date privind contractul de muncă, date din certificatele de concediu medical) către anumiți medici și anumite unități medicale cu care aceasta nu avea niciun fel de raporturi juridice.
De asemenea, s-a constatat că prelucrarea datelor privind starea de sănătate ale petentei nu putea fi efectuată în temeiul interesului legitim întrucât acesta nu se regăsește printre condițiile de prelucrare prevăzute de art. 9 din GDPR.
Așadar, operatorul a prelucrat ilegal datele personale ale petentei prin dezvăluirea ilegală și excesivă a acestora, inclusiv a datelor privind starea de sănătate, cu încălcarea principiilor de prelucrare pevăzute în Regulament.
Totodată, s-a constatat că operatorul Kredyt Inkaso Investments RO S.A. nu a respectat termenele pentru notificarea incidentului de securitate produs în momentul dezvăluirii datelor petentei către un medic cu care petenta nu avea raporturi juridice.
Operatorul a fost sancționat contravențional astfel:
- amendă în cuantum de 24.740 lei (echivalentul sumei de 5000 EURO) pentru încălcarea dispozițiilor art. 5 alin. (1) lit. a), c), alin. (2), art. 6 și art. 9 din Regulamentul General privind Protecția Datelor;
- avertisment pentru încălcarea dispozițiilor art. 33 din Regulamentul General privind Protecția Datelor.
Imagine: Bernd Klutsch, Unsplash.com
