O mare clinica privata a incalcat Regulamentul GDPR
Autoritatea Nationala de supraveghere ANSPDCP a anuntat in data de 23.03.2021 faptul ca a aplicat o amenda in valoare de 9.749,6 lei (echivalentul a 2000 EURO) operatorului S.C. Medicover S.R.L. .
Sanctiunea a fost aplicata pentru faptul ca: ”operator a trimis catre ANSPDCP notificari succesive de incalcare a securitatii datelor cu caracter personal, prin care s-a semnalat divulgarea neautorizata si accesul neautorizat la datele cu caracter personal precum: nume si prenume, CNP, serie si nr. CI, adresa CI, adresa de corespondenta, telefonul de contact si e-mail, respectiv nume si date privind starea de sanatate, transmise altor persoane fizice decat destinatarii, la adresa de e-mail sau adresa postala.”
Ei bine, problema nu a fost aceea ca au notificat Autoritatea de control, a nu se intelege acest lucru, nu, nu, nu…. Este chiar foarte bine ca au ales sa o faca. In cazul in care nu faceau acest lucru riscau ca sanctiunii aplicate acum sa i se fi alaturat si sanctiunea pentru faptul ca nu au reportat producerea incidentelor. Asadar, faptul ca au relatat producerea incidentelor a salvat clinica de alte neplaceri.
Problema aici a constituit-o faptul ca nu a fost vorba doar de o scapare ci de o succesiune de astfel de incidente, lucru care nu duce cu gandul decat la faptul ca in mod sigur nu aveau implementate masuri de siguranta care sa ii ”scape” de astfel de probleme.
Din comunicatul ANSPDCP reiese fix acest lucru, citam:” In urma investigatiei, autoritatea de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decat destinatarii, la adresa de e-mail sau adresa postala.”
Posibil sa existe acum intrebarea: Cum trebuia sa se precedeze pentru a nu se ajunge aici?
Ca raspuns la aceasta intrebare, una din principalele obligatii ale operatorului de date este aceea de a se asigura ca datele sunt actualizate si corecte. Ati observat, probabil, faptul ca peste tot unde aveti un contract sau beneficiati de un serviciu care presupune o relatie continua cu operatorul, acesta va contacteaza la o anumita perioada de timp prin intermediul unui reprezentant care va cere sa ii confirmati datele pe care le are in baza de date sau profita de faptul ca i-ati contactat dumnevoastra pentru diverse probleme si va cer sa actualizati/verificati impreuna datele?
Stim, poate sa fie ceva sacaitor si enervant, dar v-ati gandit vreodata cum ar fi daca banca unde aveti un depozit cu o suma considerabila ar trimite datele contului catre un numar care nu va mai apartine si care este acum al altei persoane, iar acea persoana ar intra in posesia unor astfel de informatii? Sau daca vorbim de un credit iar vecinul ar primi dintr-o eroare a bancii o scrisoare in care este prezentata de larg situatia dumneavoastra financiara si ar citi scrisoarea pentru ca nici nu si-a dat seama ca nu este pe numele lui? Neplacuta situatie, nu-i asa? De aceea este indicat ca operatorul sa se asigure ca datele pe care le are sunt actuale, mai ales cand vorbim de date privind sanatatea, identitatea persoanei, situatia financiara, etc. .
Autoritatea, avand in vedere problemele pe care le-a constatat, a impus si remedierea acestor deficiente ce pun in pericol datele cu caracter personal ale atator persoane vizate, ce a decis autoritatea? Iata:
”De asemenea, operatorului i-au fost aplicate si urmatoarele masuri corective:
- revizuirea si actualizarea masurilor tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor de lucru referitoare la protectia datelor cu caracter personal, precum si implementarea unor masuri privind instruirea periodica a persoanelor care actioneaza sub autoritatea sa, referitor la obligatiile ce le revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, in functie de specificul activitatii, inclusiv a procedurilor de lucru referitoare la protectia datelor cu caracter personal si instruirea personalului propriu;
- identificarea si implementarea unor masuri pentru a se asigura ca datele cu caracter personal prelucrate sunt exacte si actualizate, avand in vedere scopurile pentru care sunt prelucrate, iar cele inexacte sa fie sterse sau rectificate fara intarziere (spre exemplu, un mecanism de verificare a validitatii adresei de e-mail la momentul colectarii).”
Suntem perfect de acord cu reprezentantii autoritatii, este clar faptul ca exista o reala nevoie ca aceste masuri de fie implementate si aplicate incepand de acum, iar pe viitor speram ca astfel de incidente nu se vor mai repeta.
Sursa articol: www.dataprotection.ro/
Multumim,
Echipa MyBiz GDPR