SISTEMUL MEDICAL DIN ROMANIA VIZAT DE O NOUA AMENDA
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a dat publicitatii, in data de 13.12.2019, un articol in care comunica faptul ca a aplicat o sanctiune unui operator de date din domeniul medical- Nicola Medical Team 17 SRL.
Aceasta sanctiune a provocat deja un mare val de reactii din partea tuturor celor care profeseaza in domeniul medical sau au o oarecare legatura cu acesta.
Bineinteles ca toti doresc sa stie ce s-a intamplat, de ce a fost sanctionat acest operator si daca se putea face ceva pentru a evita primirea sanctiunii respective.
Raspunsul este DA, putea fi evitata foarte usor primirea sanctiunii, ea fiind acordata pe motiv ca, operatorul de date – Nicola Medical Team 17 SRL, nu a raspuns la solicitarea primita din partea ANSPDCP.
În cadrul procedurii de investigare, Autoritatea a solicitat informații suplimentare, fără a primi un răspuns din partea operatorului, acest fapt a dus la sanctionarea cu un avertisment și a fost dispusă măsura corectivă constând în obligarea operatorului de a transmite către Autoritate, în scris, toate informațiile solicitate, în termen de 10 zile calendaristice de la comunicarea procesului-verbal.
Nu cunoastem detalii cu privire la ce informatii a solicitat Autoritatea, insa, conform art. 58, alin. 1, lit. e), reprezentantii Autoritatii au dreptul de a solicita accesul la datele cu caracter personal si orice alte informatii sunt necesare pentru indeplinirea sarcinilor lor.
Întrucât operatorul nu a dus la îndeplinire măsurile corective impuse, Autoritatea a constatat încălcarea prevederilor art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) și lit. e), dispunând amendarea cu suma de 9555,4 lei, echivalentul sumei de 2000 EURO si aplicarea unei noi măsuri corective, mai exact, în termen de 5 zile de la comunicarea procesului-verbal sa ofere informatiile solicitate de reprezentantii Autoritatii.
Ceea ce trebuie sa intelegem din acest caz, este faptul ca, reprezentantii ANSPDCP pot solicita acces la datele cu caracter personal si la orice alte informatii le sunr necesare atunci cand investigheaza o incalcare a Regulamentului, chiar daca este vorba doar de o suspiciune, trebuie sa verifice daca este vorba de o incalcare a securitatii datelor sau nu.
Operatorii de date au obligatia de a raspunde solicitarii ANSPDCP. Daca nu fac acest lucru sunt pasibili de a primi o amenda administrativa, a carei valoare este stabilita functie de cateva criterii:
- a) natura, gravitatea şi durata încălcării, precum şi de numărul persoanelor vizate afectate şi de nivelul prejudiciilor suferite de acestea;
- b) dacă încălcarea a fost comisă intenţionat sau din neglijenţă;
- c) orice acţiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată;
- d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ţinându-se seama de măsurile tehnice şi organizatorice implementate de aceştia;
- e) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;
- f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea şi a atenua posibilele efecte negative ale încălcării;
- g) categoriile de date cu caracter personal afectate de încălcare;
- h) modul în care încălcarea a fost adusă la cunoştinţa autorităţii de supraveghere, în special dacă şi în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;
- i) aderarea la coduri de conduită aprobate sau la mecanisme de certificare aprobate;
- j) orice alt factor agravant sau atenuant aplicabil circumstanţelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
Cu cat sunteti mai diligenti si dati dovada de implicare in asigurarea protectiei datelor ,cu cat aveti mai multe masuri de securitate aplicate si se constata ca ati facut tot ce era posibil pentru a creste nivelul de siguranta al datelor, cu atat valoarea amenzii scade.
Solicitarile primite din partea persoanelor vizate si a ANSPDCP trebuie tratate cu seriozitate, aveti obligatia de a depune toate eforturile posibile pentru a raspunde in cel mai scurt timp posibil, iar raspunsul sa fie la obiect, nu oferiti raspunsuri evazive sau partiale, in incercarea de a ascunde ceva.
Cooperarea cu organele de control constituie unul din atuurile dumneavoastra, daca nu dati dovada de cooperare riscati sa creasca considerabil valoarea sanctiunii si sa declansati un val de controale mult mai amanuntite.
Operatorului ii este mult mai usor sa isi indeplineasca obligatiile daca are o Procedura de raspuns la solicitarile persoanei vizate si ale ANDPSCP, este vorba de o procedura care trebuie sa cuprinda fiecare pas de urmat atunci cand va confruntati cu o astfel de situatie.
Toti angajatii trebuie instruiti cu privire la maniera in care pot sa gestioneze aceste situatii, sa cunoasca persoana care se ocupa de formularea raspunsului la aceste solicitari si sa ii transmita documentul in cel mai scurt timp posibil. Desemnarea persoanei care se ocupa de protectia datelor este realizata de manager iar datele de contact ale acestei persoane trebuie aduse la cunostinta tuturor angajatilor. Totodata trebuie sa existe o fisa a postului care sa cuprinda specificatii cu privire la modul in care persoana desemnata trebuie sa realizeze sarcinile trasate.
De asemenea, persoana desemnata cu protectia datelor sau DPO-ul trebuie sa fie o persoana cu o baza solida de cunostinte in domeniul protectiei datelor. Astfel, ea va stii cat timp are la dispozitie sa formuleze raspunsul la solicitare, cum trebuie sa procedeze in aceste cazuri, ce informatii trebuie sa ofere si care sunt pasii de urmat in astfel de spete.
sursa: site ANSPDCP