Home » Comunicat_Presa_04_04_2025
 Română | English | Francais

sigla_anspdcp_2.png

 

Regulament (UE) 2016/679 aplicabil din 25 mai 2018

Plângeri

Plângeri RGPD

 

Procedura de soluționare

 

Operatori

Formular declarare responsabil cu protecția datelor

 

Notificare Breșă RGPD

 

Notificare Breșă L.506/2004

 

Informații plată amendă persoane juridice

 

Regimul sancționator pentru sectorul public

 

Sancțiuni RGPD

Schengen

 

Schengen

Sistemul de Informatii privind Vizele

 

 

 

Sistemul de informaţii privind vizele

Stiri

Informaţii utile

Întrebări frecvente

Ghid întrebări RGPD

Ghid orientativ RGPD

Ghid privind aplicarea Legii nr. 363/2018

Ghid privind asociațiile de proprietari

Legături utile

 

Anunţuri posturi vacante/concursuri

 

 

Anunturi posturi vacante / concursuri ocupare posturi vacante

 

Rezultate concurs

TFTP-Programul de Urmarire a Finanţărilor Teroriste

 

 

 

 

Procedura

Formulare

Contacte

Contactaţi-ne

Protecţia Datelor Personale

 

Informarea persoanelor vizate cu privire la prelucrarea datelor personale de către ANSPDCP

 

Politica Cookie

04.04.2025

Sancțiune pentru încălcarea RGPD

 

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna februarie 2025, o investigație la operatorul MEDCENTER SRL și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. a), b) și d) și alin. (2) din același articol și art. 34 din Regulamentul (UE) 2016/679.

Operatorul a fost sancționat contravențional cu o amendă în cuantum de 149.319 lei, echivalentul a 30.000 EURO și un avertisment.

Investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor cu caracter personal, conform dispozițiilor art. 33 din Regulamentul (UE) 2016/679.

În cadrul investigației efectuate, s-a constatat faptul că persoane neautorizate au accesat în mod ilegal  datele cu caracter personal ale clienților operatorului, respectiv: numele, prenumele, codul numeric personal, date privind asigurarea medicală, numărul de telefon, adresa de e-mail, numele de utilizator, parola, rezultatele investigațiilor, rezultatele analizelor de laborator și anatomie patologică, programările, deconturile.

Ca urmare, s-a constatat faptul că MEDCENTER SRL nu a pus în aplicare măsuri tehnice și organizatorice adecvate, incluzând pseudonimizarea și criptarea datelor personale, capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și rezistența continue ale sistemelor și serviciilor de prelucrare.

De asemenea, s-a constatat că operatorul nu a realizat testarea, evaluarea și aprecierea periodică a eficacității măsurilor tehnice și organizatorice pentru garantarea securității prelucrării.

Această situație a condus la accesul neautorizat al unor terți la datele personale, fiind încălcate dispozițiile art. 32 alin. (1) lit. a), b) și d) și art. 32 alin. (2) din Regulamentul (UE) 2016/679, pentru care operatorul a fost sancționat cu amendă.

De asemenea, în cursul investigației, s-a constatat că operatorul nu a informat persoanele vizate afectate cu privire la încălcarea securității datelor cu caracter personal, fiind astfel încălcate dispozițiile art. 34 din Regulamentul (UE) 2016/679. Pentru această faptă, operatorul a fost sancționat cu avertisment.

Totodată, în conformitate cu dispozițiile art. 58 alin. (2) lit. d) din Regulamentul (UE) 2016/679, operatorului i s-au aplicat și următoarele măsuri corective:

  • implementarea unui sistem de jurnalizare a tuturor accesărilor valide/erorilor privind încercările nereușite de acces asupra serverelor din infrastructura IT a operatorului, cu reținerea acestora pe o durată astfel încât să se poată stabili într-un mod cât mai obiectiv existența unei situații de sustragere neautorizată de date în cazul unor atacuri informatice, inclusiv cu efectuarea de back-up asupra fișierelor de jurnalizare (log-uri);
  • informarea persoanele vizate afectate de incident, conform art. 34 din Regulamentul (UE) 2016/679, prin orice modalitate (de ex. adresă de corespondență, e-mail, sms, comunicat pe site, etc.), astfel încât informarea să includă o descriere într-un limbaj clar şi simplu al caracterului încălcării securităţii datelor cu caracter personal sau să efectueze o informare publică sau orice altă măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace. 

 

Direcția juridică și comunicare

A.N.S.P.D.C.P.