Clinică medicală amendată pentru încălcarea Regulamentului privind protecția datelor

O clinică medicală a fost amendată cu aproximativ 10.000 de lei pentru încălcarea Regulamentului privind protecția datelor.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna ianuarie 2025, o investigație la operatorul Medstar S.R.L. și a constatat încălcarea dispozițiilor art. 32, 33 și 34 din Regulamentul (UE) 2016/679 (RGPD).

Ca atare operatorul, a fost sancționat cu:

• amendă în cuantum de 9.946,2 lei (echivalentul sumei de 2.000 euro) pentru încălcarea dispozițiilor art. 32 din Regulamentul (UE) 2016/679.
• avertisment pentru încălcarea dispozițiilor art. 33 și art. 34 din Regulamentul (UE) 2016/679.

Investigația a fost demarată ca urmare a unei plângeri a unei persoane vizate, care a reclamat că operatorul unde și-a efectuat analizele medicale, clinica Medstar, a dezvăluit datele sale cu caracter personal și ale altei persoane vizate.  

În cadrul investigației efectuate, s-a constatat că operatorul a dezvăluit datele privind starea de sănătate ale petentei către o altă persoană (pacient), iar datele altui pacient privind starea de sănătate i-au fost transmise petentei, în mod eronat și nesecurizat prin poșta electronică.

Astfel, această situație a condus la dezvăluirea neautorizată a datelor personale și speciale, ce aparțineau mai multor persoane vizate, precum: nume, prenume, cod numeric personal, vârstă, sex, localitate, număr telefon mobil, adrese de e-mail, date medicale din istoricul pacientului, tipul analizelor efectuate, numele medicului care a făcut recomandarea și specialitatea acestuia, numele medicului care a efectuat analizele și specialitatea acestuia, rezultate analize, recomandare medicală, denumirea plătitorului, tratamentul prescris.

De asemenea, s-a constatat că operatorul nu a adoptat suficiente măsuri tehnice și organizatorice de securitate conform art. 32 din RGPD, adaptate la caracterul datelor personale care au fost supuse prelucrării, fapt care a condus la dezvăluirea neautorizată a datelor personale ale unor persoane vizate.

Ca atare, operatorul Medstar S.R.L. a fost sancționat cu amendă pentru încălcarea dispozițiilor art. 32 din Regulamentul (UE) 2016/679.

Totodată, întrucât operatorul nu a notificat încălcarea securității datelor către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și nici nu a informat persoanele vizate cu privire la dezvăluirea neautorizată a datelor lor personale, acestuia i s-au aplicat două avertismente, pentru încălcarea dispozițiilor art. 33 și art. 34 din Regulamentul (UE) 2016/679.

S-au dispus operatorului și măsuri corective.