08.05.2024
Sancțiuni pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat două investigații la doi operatori și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și art. 32 alin. (2) și alin. (4) din Regulamentul (UE) 2016/679.
Investigațiile au fost demarate ca urmare a transmiterii de către operatori a notificării de încălcare a securității datelor cu caracter personal, conform art. 33 din Regulamentul (UE) 2016/679.
Astfel:
1.Operatorul CENTRUL MEDICAL UNIREA SRL a fost sancționat contravențional cu amendă în cuantum de 24.856 lei (echivalentul a 5 000 de EURO).
Încălcarea securității datelor s-a produs ca urmare a divulgării neautorizate a datelor cu caracter personal pe internet.
În cadrul investigației, s-a constatat că au fost dezvăluite neautorizat datele personale (precum: numele și prenumele, CNP-ul, data nașterii; vârsta, sexul, numărul de telefon de serviciu sau personal, adresa de e-mail de serviciu sau personală, informații cu privire la adresa de corespondență, profesia, funcția, pontaj, targeturi și bonusuri) ale unui număr semnificativ de persoane vizate (pacienți și angajați).
Ca urmare, în cadrul investigației a rezultat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prelucrării și nu a luat măsuri suficiente pentru a se asigura că orice persoană fizică care acționează sub autoritatea operatorului și care are acces la date cu caracter personal nu le prelucrează decât la cererea sa.
Totodată, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus față de operatorul Centrul Medical Unirea SRL și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice implementate ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv în ceea ce privește implementarea unui proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării desfășurată.
2. Operatorul Genpact România SRL a fost sancționat contravențional cu amendă în cuantum de 14.913,6 lei (echivalentul a 3 000 de EURO).
Încălcarea securității datelor s-a produs ca urmare a transmiterii unui fișier care conținea date referitoare la recrutarea personalului pe o adresă de e-mail neautorizată a unui angajat.
În cadrul investigației, a rezultat că nu au fost luate măsuri pentru a se asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului și are acces la datele cu caracter personal nu le prelucrează decât la cererea sa. De asemenea, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării incluzând capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.
Ca atare, această încălcare a condus la accesul neautorizat și divulgarea neautorizată a datelor cu caracter personal (cum ar fi: numele și prenumele, numărul de telefon, adresa de e-mail) ale unor persoane vizate.
De asemenea, în temeiul art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, s-a dispus față de operatorul Genpact România SRL și măsura corectivă de revizuire și actualizare a măsurilor tehnice și organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, implementarea și transmiterea către persoanele responsabile a unor instrucțiuni privind interzicerea utilizării echipamentelor personale ale angajaților în diferite activități neautorizate de societate și a unor măsuri privind instruirea persoanelor care acționează sub autoritatea sa, referitor la obligațiile ce le revin conform prevederilor Regulamentul (UE) 2016/679, inclusiv cu privire la riscurile și consecințele pe care le implică divulgarea datelor personale.
Direcția juridică și comunicare
A.N.S.P.D.C.P