Autoritatea Națională de Supraveghere a aplicat o amendă de 24.700 de lei (echivalentul a 5.000 de euro), după ce documente ce conțineau date cu caracter personal au fost găsit în coșul de gunoi al unei instituții publice. Sancțiunea a fost încasată de Medlife, deoarece actele în cauză conțineau datele personale ale unor clienți ori pacienți ai celui mai mare operator privat de servicii medicale din România.
Investigația a început în urma unei sesizări cu privire la o posibilă încălcare a dispoziţiilor Regulamentului General privind Protecția Datelor. O persoană a anunțat că a găsit ”documente care conțineau date cu caracter personal, inclusiv date sensibile, aruncate la un coș de gunoi al unei unități administrativ-teritoriale”. La sesizare au fost atașate documente care conțineau date personale ale unor clienți sau pacienți ai operatorului de servicii medicale Medlife.
”În cadrul investigației s-a constatat că operatorul MEDLIFE S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prezentat de prelucrare, ceea ce a condus la accesarea ori divulgarea ilicită a datelor cu caracter personal ale clienților proprii MEDLIFE S.A. (nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicală efectuată, suma achitată, cont bancar) și ale angajaților săi (salariu avans), în perioada iulie 2020 – august 2020”, a transmis Autoritatea Națională de Supraveghere (ANS).
În plus, s-a stabilit că Medlife nu a luat măsuri pentru a se asigura că orice persoană fizică care acţionează sub autoritatea sa şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului. În acest fel, ANS a stabilit că au fost încălcate prevederile art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul (UE) 2016/679.
Art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul (UE) 2016/679:
(1) Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz: (…) (b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare;
(2) La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.
(4) Operatorul și persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.
Drept pedeapsă pentru încălcarea RGPD, operatorul MEDLIFE S.A. a fost sancționat cu amendă în cuantum de 24.721,50 de lei, echivalentul a 5000 EURO. În plus, i s-a cerut să revizuiască și să actualizeze măsurile tehnice și organizatorice implementate și să implementeze măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.
