Home » Comunicat_Presa_20_02_2025
 Română | English | Francais

sigla_anspdcp_2.png

 

Regulament (UE) 2016/679 aplicabil din 25 mai 2018

Plângeri

Plângeri RGPD

 

Procedura de soluționare

 

Operatori

Formular declarare responsabil cu protecția datelor

 

Notificare Breșă RGPD

 

Notificare Breșă L.506/2004

 

Informații plată amendă persoane juridice

 

Regimul sancționator pentru sectorul public

 

Sancțiuni RGPD

Schengen

 

Schengen

Stiri

Informaţii utile

Întrebări frecvente

Ghid întrebări RGPD

Ghid orientativ RGPD

Ghid privind aplicarea Legii nr. 363/2018

Ghid privind asociațiile de proprietari

Legături utile

 

Anunţuri posturi vacante/concursuri

 

 

Anunturi posturi vacante / concursuri ocupare posturi vacante

 

Rezultate concurs

TFTP-Programul de Urmarire a Finanţărilor Teroriste

 

 

 

 

Procedura

Formulare

Contacte

Contactaţi-ne

Protecţia Datelor Personale

 

Informarea persoanelor vizate cu privire la prelucrarea datelor personale de către ANSPDCP

 

Politica Cookie

20.02.2025

Sancțiune pentru încălcarea RGPD

 

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna ianuarie 2025, o investigație la operatorul Medstar S.R.L. și a constatat încălcarea dispozițiilor art. 32, 33 și 34 din Regulamentul (UE) 2016/679 (RGPD).

Ca atare operatorul, a fost sancționat cu:

  • amendă în cuantum de 9.946,2 Lei (echivalentul sumei de 2.000 Euro) pentru încălcarea dispozițiilor art. 32 din Regulamentul (UE) 2016/679.
  • avertisment pentru încălcarea dispozițiilor art. 33 și art. 34 din Regulamentul (UE) 2016/679.

Investigația a fost demarată ca urmare a unei plângeri a unei persoane vizate, care a reclamat că operatorul unde și-a efectuat analizele medicale, clinica Medstar, a dezvăluit datele sale cu caracter personal și ale altei persoane vizate.  

În cadrul investigației efectuate, s-a constatat că operatorul a dezvăluit datele privind starea de sănătate ale petentei către o altă persoană (pacient), iar datele altui pacient privind starea de sănătate, i-au fost transmise petentei, în mod eronat și nesecurizat prin poșta electronică.

Astfel, această situație a condus la dezvăluirea neautorizată a datelor personale și speciale, ce aparțineau mai multor persoane vizate, precum: nume, prenume, cod numeric personal, vârstă, sex, localitate, număr telefon mobil, adrese de e-mail, date medicale din istoricul pacientului, tipul analizelor efectuate, numele medicului care a făcut recomandarea și specialitatea acestuia, numele medicului care a efectuat analizele și specialitatea acestuia, rezultate analize, recomandare medicală, denumirea plătitorului, tratamentul prescris.

De asemenea, s-a constatat că operatorul nu a adoptat suficiente măsuri tehnice și organizatorice de securitate conform art. 32 din RGPD, adaptate la caracterul datelor personale care au fost supuse prelucrării, fapt care a condus la dezvăluirea neautorizată a datelor personale ale unor persoane vizate.

Ca atare, operatorul Medstar S.R.L. a fost sancționat cu amendă pentru încălcarea dispozițiilor art. 32 din Regulamentul (UE) 2016/679.

Totodată, întrucât operatorul nu a notificat încălcarea securității datelor către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și nici nu a informat persoanele vizate cu privire la dezvăluirea neautorizată a datelor lor personale, acestuia i s-au aplicat două avertismente, pentru încălcarea dispozițiilor art. 33 și art. 34 din Regulamentul (UE) 2016/679.

Totodată, s-au dispus operatorului și următoarele măsuri corective:

  • de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice și organizatorice adecvate specificului prelucrării și riscurilor identificate, pe întreg ciclul de prelucrare a datelor, în special sub aspectul verificării exactității datelor personale prelucrate, al stabilirii unor reguli adecvate legate de gestionarea fișierelor ce pot fi transmise prin folosirea mijloacelor de comunicare electronică (la distanță), al instruirii persoanelor care prelucrează date sub autoritatea operatorului, al verificării regulate a respectării instrucțiunilor transmise acestora, al automatizării anumitor procese prin care să fie reduse riscurile de prelucrare ilegală sau neautorizată a datelor personale;
  • de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin adoptarea unor măsuri interne necesare pentru detectarea rapidă, gestionarea și raportarea unor situații de încălcare a securității datelor personale, indiferent că ar necesita sau nu notificarea autorității de supraveghere și/sau a persoanelor vizate, precum și instruirea corespunzătoare și regulată a persoanelor care prelucrează date sub autoritatea operatorului, în acest context;
  • de a informa persoanele cărora le-au fost dezvăluite datele cu caracter personal cu privire la încălcarea securității datelor, prin aducerea la cunoștința acestora a informațiilor prevăzute de art. 34 din RGPD;
  • de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin solicitarea adresată către persoanele cărora le-au fost dezvăluite datele (persoane vizate), de a nu folosi și de a șterge datele personale ale unor terțe persoane care le-au fost dezvăluite în mod neautorizat.

 

Direcția juridică și comunicare

A.N.S.P.D.C.P