Autoritatea Națională de Supraveghere anunță că a finalizat o investigație demarată în urma unei sesizări cu privire la o posibilă încălcare a dispozițiilor GDPR, ca urmare a identificării de către o persoană fizică, a unor documente care conțineau date cu caracter personal, inclusiv date sensibile, aruncate la un coș de gunoi al unei unități administrativ-teritoriale. Documentele atașate sesizării conțineau date cu caracter personal ale unor clienți/pacienți ai MED LIFE S.A.
În cadrul investigației, ANSPDCP a constatat că operatorul MED LIFE S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prezentat de prelucrare, ceea ce a condus la accesarea ori divulgarea ilicită a datelor cu caracter personal ale clienților proprii (nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicală efectuată, suma achitată, cont bancar) și ale angajaților săi (salariu avans), în perioada iulie 2020 – august 2020.
Deși operatorul avea obligația de a lua măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea sa şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, s-a constatat că nu a luat măsurile necesare, încălcând astfel prevederile GDPR.
Operatorul MED LIFE S.A. a fost sancționat cu amendă în cuantum de 24.721,50 lei, echivalentul a 5000 EURO.
Totodată, în cadrul investigației, operatorului i s-a aplicat şi măsura corectivă constând în revizuirea și actualizarea măsurilor tehnice și organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.
Photo by Steve Johnson on Unsplash
