Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat MedLife cu 24.721,50 lei, echivalentul a 5000 EURO, pentru încălcarea normelor GDPR. Compania susține că acest caz se află în atenția poliției, fiind în derulare o anchetă penală pentru identificarea și sancționarea persoanelor care au preluat, în mod neautorizat, documentele.
Comunicatul ANSPDCP:
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în luna aprilie 2022 o investigație la operatorul MEDLIFE S.A. și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul General privind Protecția Datelor (RGPD).
Operatorul MEDLIFE S.A. a fost sancționat cu amendă în cuantum de 24.721,50 lei, echivalentul a 5000 EURO.
Investigația a fost demarată in urma unei sesizări cu privire la o posibilă încălcare a dispoziţiilor RGPD, ca urmare a identificării de către o persoană fizică, a unor documente care conțineau date cu caracter personal, inclusiv date sensibile, aruncate la un coș de gunoi al unei unități administrativ-teritoriale. Documentele atașate sesizării conțineau date cu caracter personal ale unor clienți/pacienți ai MEDLIFE S.A.
În cadrul investigației s-a constatat că operatorul MEDLIFE S.A. nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de confidențialitate și securitate corespunzător riscului prezentat de prelucrare, ceea ce a condus la accesarea ori divulgarea ilicită a datelor cu caracter personal ale clienților proprii MEDLIFE S.A. (nume, prenume, CNP, serviciul medical de care a beneficiat, analiza medicală efectuată, suma achitată, cont bancar) și ale angajaților săi (salariu avans), în perioada iulie 2020 – august 2020.
Citește și Studiu MedLife: “Aproape 80% dintre cei vaccinați prezintă un nivel protectiv de anticorpi în fața formelor grave de COVID-19, chiar și la 6 luni după rapel
Deși operatorul avea obligația de a lua măsuri pentru a asigura faptul că orice persoană fizică care acţionează sub autoritatea sa şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, s-a constatat că nu a luat măsurile necesare, încălcând astfel prevederile art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din Regulamentul (UE) 2016/679.
Totodată, în cadrul investigației, operatorului MEDLIFE S.A. i s-a aplicat şi măsura corectivă constând în revizuirea și actualizarea măsurilor tehnice și organizatorice implementate, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal, precum și implementarea unor măsuri privind instruirea periodică a persoanelor care acționează sub autoritatea sa, inclusiv cu privire la riscurile pe care le comportă prelucrarea datelor cu caracter personal.
Reacția companiei MedLife transmisă profit.ro:
Cazul prezentat se află în atenția poliției, fiind în derulare o anchetă penală pentru identificarea și sancționarea persoanelor care au preluat, în mod neautorizat, documentele. În paralel, au fost luate măsuri interne pentru preîntâmpinarea unor situații similare.
Menționăm că Sistemul Medical MedLife respectă prevederile G.D.P.R și depune eforturi în vederea menținerii securității datelor cu caracter personal și a prevenirii situațiilor care încalcă acest regulament.
De asemenea, reprezentanții companiei colaborează îndeaproape cu autoritățile pentru soluționarea cât mai rapidă a acestui caz”.
