Renumita clinica privata amendata pentru incalcarea GDPR

Operatorul MEDLIFE S.A. a fost sanctionat cu amenda in cuantum de 24.721,50 lei, echivalentul a 5000 EURO.

Investigatia a fost demarata in urma unei sesizari cu privire la o posibila incalcare a dispozitiilor RGPD, ca urmare a identificarii de catre o persoana fizica, a unor documente care contineau date cu caracter personal, inclusiv date sensibile, aruncate la un cos de gunoi al unei unitati administrativ-teritoriale. Documentele atasate sesizarii contineau date cu caracter personal ale unor clienti/pacienti ai MEDLIFE S.A.

In cadrul investigatiei realizate de reprezentantii autoritatii de control si supraveghere s-a constatat ca lipsa unor masuri de siguranta obligatorii au dus la accesarea ori divulgarea ilicita a datelor cu caracter personal ale clientilor (nume, prenume, CNP, serviciul medical de care au beneficiat, analizele medicale efectuate, suma achitata, contul bancar) si ale angajatilor sai (salariu avans), in perioada iulie 2020 – august 2020.

Distrugerea documentelor care contin date cu caracter personal trebuie facuta astfel incat sa nu existe posibilitatea reconstituirii lor (aducerii lor intr-o stare apropiata de cea initiala) iar datele pe care le contin sa nu poata fi vizualizate. Cel mai eficient si rapid proces de distrugere este cel in care sunt utilizate dispozitive de tip ”shredder”.

Pentru o mai buna gestionare a procesului, operatorul de date va redacta si va pune la dispozitia angajatilor o procedura de stergere/distrugere a datelor care sa cupinda un set de reguli privind acest proces. Mai exact, aceasta procedura trebuie sa includa:

  • O lista a conditiilor pe care datele cu caracter personal trebuie sa le indeplineasca pentru a putea fi sterse (datele care nu mai sunt necesare, datele al caror termen de pastrare a expirat si pentru care nu mai exista un temei legal de pastrare, datele pentru care s-a primit solicitarea de stergere din partea persoanei vizate, etc.).
  • Cateva reguli de buna practica privind administrarea bazei de date si verificarea perioadelor de stocare a datelor cu caracter personal care o alcatuiesc.
  • Reguli privind modul de organizare a procesului de stergere a datelor si de distrugere a documentelor si dispozitivelor pe care sunt stocate date cu caracter personal.
  • Un set de verificari ce trebuie realizat de persoanele insarcinate sa realizeze acest proces.

Stergerea datelor este obligatorie, insa trebuie realizata in conditii de siguranta, altfel poate genera riscuri foarte mari pentru operatori, chiar sa constituie cauza unui incident de securitate.

Multumim,

Echipa MyBiz GDPR