Sanctiune acordata unui furnizor de software medical.
Autoritatea franceza de supraveghere (LSA) a sanctionat un operator de date cu amenda in valoare de 1.5 milioane de euro pentru maniera defectuoasa in care acesta a realizat portarea datelor.
LSA a efectuat mai multe investigatii la fata locului si online, in special, cu privire la compania Dedalus Biologie, care vinde solutii software pentru laboratoarele de analize medicale. Pe baza elementelor colectate in cursul investigatiilor, comisia de control (organism CNIL responsabil cu emiterea de sanctiuni) a identificat trei incalcari.
In primul rand, in contextul migrarii unui pachet software catre un alt soft, solicitat de doua laboratoare care utilizau serviciile Dedalus Biologie, acesta din urma a extras un volum mai mare de date decat era necesar. Prin urmare, compania a procesat date dincolo de instructiunile date de operatorii de date si nu a respectat articolul 29 din RGPD.
In al doilea rand, societatea nu a asigurat securitatea datelor cu caracter personal in sensul articolului 32 din RGPD. Numeroase incalcari tehnice si organizatorice in ceea ce priveste securitatea au fost constatate in cadrul investigatiei realizate la Dedalus Biologie in contextul migrarii datelor din softul operatorului catre alt soft:
- lipsa unei proceduri specifice pentru operatiunile de portare a datelor;
- lipsa criptarii datelor cu caracter personal stocate pe server;
- lipsa masurii de securitate prin care sa se realizeze stergerea automata a datelor dupa migrarea catre softul tert;
- lipsa modulului de autentificare pentru accesul in zona publica a serverului prin intermediul unui browser web;
- utilizarea aceluiasi cont de utilizator pentru acces in zona privata a serverului de mai multi angajati;
- lipsa masurilor care sa asigure monitorizare activitatii serverului si emiterea alertelor de securitate in caz de necesitate.
Aceasta lipsa de masuri de siguranta a fost una dintre cauzele incalcarii securitatii datelor care au compromis datele medicale si administrative ale aproape 500.000 de persoane.
In cele din urma, autoritatea de control a stabilit, de asemenea, ca atat conditiile generale de vanzare propuse de societatea Dedalus Biologie cat si contractele pe care operatorul sanctionat le-a transmis CNIL nu contin mentiunile prevazute la articolul 28 alineatul (3) din RGPD privind conditiile care reglementeaza prelucrarea de date realizata de persoana imputernicita in numele operatorului.
Decizie
Avand in vedere cele de mai sus, autoritatea de control a decis sa impuna operatorului o amenda administrativa de 1,5 milioane de euro.
Valoarea amenzii a fost stabilita luand in calcul numarul mare de persoane vizate afectate de incidentele produse, natura sensibila a datelor cu caracter personal a caror siguranta a fost afectata dar si lipsa unor minime masuri de siguranta care se impuneau intr-un astfel de cadru de prelucrare.
Multumim,
Echipa MyBiz GDPR