O firmă a fost mendată cu 5000 de euro după ce un cetățean a descoperit documente care conțineau date cu caracter personal aruncate într-un coș public, lucru interzis prin lege. Autoritatea Națională de Supraveghere a finalizat în luna aprilie 2022 o investigație la operatorul MEDLIFE S.A. și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul General privind Protecția Datelor (RGPD).
„Operatorul MEDLIFE S.A. a fost sancționat cu amendă în cuantum de 24.721,50 lei, echivalentul a 5000 EURO. Investigația a fost demarată în urma unei sesizări cu privire la o posibilă încălcare a dispoziţiilor RGPD, ca urmare a identificării de către o persoană fizică, a unor documente care conțineau date cu caracter personal, inclusiv date sensibile, aruncate la un coș de gunoi al unei unități administrativ-teritoriale. Documentele atașate sesizării conțineau date cu caracter personal ale unor clienți/pacienți ai MEDLIFE S.A.
În cadrul investigației s-a constatat că operatorul MEDLIFE S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prezentat de prelucrare, ceea ce a condus la accesarea ori divulgarea ilicită a datelor cu caracter personal ale clienților proprii MEDLIFE S.A. (nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicală efectuată, suma achitată, cont bancar) și ale angajaților săi (salariu avans), în perioada iulie 2020 – august 2020. Deși operatorul avea obligația de a lua măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea sa şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, s-a constatat că nu a luat măsurile necesare, încălcând astfel prevederile art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul (UE) 2016/679.
Totodată, în cadrul investigației, operatorului MEDLIFE S.A. i s-a aplicat şi măsura corectivă constând în revizuirea și actualizarea măsurilor tehnice și organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal”, precizează Autoritatea mai sus amintită într-un comunicat de presă.
ACTUALIZARE
„Cazul prezentat se află în atenția poliției, fiind în derulare o anchetă penală pentru identificarea și sancționarea persoanelor care au preluat, în mod neautorizat, documentele. În paralel, au fost luate măsuri interne pentru preîntampinarea unor situații similare. Menționăm că Sistemul Medical MedLife respectă prevederile G.D.P.R și depune eforturi in vederea menținerii securității datelor cu caracter personal și a prevenirii situațiilor care incalcă acest regulament. De asemenea, reprezentanții companiei colaborează îndeaproape cu autoritățile pentru soluționarea cat mai rapidă a acestui caz”, ne-au transmis cei de la Medlife Romania.
Dragoș HOJDA