Die Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten hat zwei Untersuchungen bei zwei Betreibern abgeschlossen und einen Verstoß gegen Artikel 32 (2) der Datenschutz-Grundverordnung festgestellt. (1) (b) und Art. 32 (1) (b). (2) und (3) von Artikel 32 (2) und (3) der EG-Verordnung. (4) der Verordnung (EU) 2016/679.
Die Untersuchungen wurden eingeleitet, nachdem die Betreiber die Meldung der Verletzung des Schutzes personenbezogener Daten gemäß Artikel 33 der Verordnung (EU) 2016/679 eingereicht hatten.
Daraus folgt:
- wurde der Betreiber CENTRUL MEDICAL UNIREA SRL mit einer Geldstrafe in Höhe von 24.856 Lei (entspricht 5.000 EUR) bestraft.
Die Datenschutzverletzung wurde durch die unbefugte Weitergabe von personenbezogenen Daten im Internet verursacht.
Bei der Untersuchung wurde festgestellt, dass personenbezogene Daten (wie Vor- und Nachname, CNP, Geburtsdatum, Alter, Geschlecht, berufliche oder persönliche Telefonnummer, berufliche oder persönliche E-Mail-Adresse, Informationen über Korrespondenzanschrift, Beruf, Position, Zeiterfassung, Ziele und Boni) einer beträchtlichen Anzahl von betroffenen Personen (Patienten und Mitarbeiter) unbefugt veröffentlicht wurden.
Die Untersuchung ergab, dass der für die Verarbeitung Verantwortliche keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat, um ein dem Risiko der Verarbeitung angemessenes Maß an Vertraulichkeit und Sicherheit zu gewährleisten, und dass er keine ausreichenden Maßnahmen ergriffen hat, um sicherzustellen, dass natürliche Personen, die unter der Aufsicht des für die Verarbeitung Verantwortlichen handeln und Zugang zu personenbezogenen Daten haben, diese nur auf deren Ersuchen verarbeiten.
Gleichzeitig hat er gemäß Artikel 58 Absatz. (2) lit. d) der Verordnung (EU) 2016/679 gegenüber dem für die Verarbeitung Verantwortlichen Centrul Medical Unirea SRL auch die Korrekturmaßnahme der Überprüfung und Aktualisierung der im Anschluss an die Bewertung des Risikos für die Rechte und Freiheiten natürlicher Personen getroffenen technischen und organisatorischen Maßnahmen, einschließlich der Einführung eines Verfahrens zur regelmäßigen Prüfung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der durchgeführten Verarbeitung, angeordnet.
- Gegen den Betreiber Genpact Romania SRL wurde eine Geldstrafe in Höhe von 14.913,6 Lei (entspricht 3.000 EUR) verhängt.
Die Datenverletzung erfolgte durch die Übermittlung einer Datei mit Personaleinstellungsdaten an eine nicht autorisierte E-Mail-Adresse eines Mitarbeiters.
Im Laufe der Untersuchung stellte sich heraus, dass keine Maßnahmen getroffen wurden, um sicherzustellen, dass natürliche Personen, die unter der Aufsicht des für die Verarbeitung Verantwortlichen handeln und Zugang zu personenbezogenen Daten haben, diese nicht verarbeiten, es sei denn, sie werden dazu aufgefordert. Außerdem wurde festgestellt, dass der für die Verarbeitung Verantwortliche keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung angemessen ist, einschließlich der Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und dauerhafte Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen.
Diese Sicherheitsverletzung führte zu einem unbefugten Zugriff und einer unbefugten Offenlegung personenbezogener Daten (wie Vor- und Nachname, Telefonnummer, E-Mail-Adresse) einiger betroffener Personen.
Auch nach Artikel 58 Absatz. (2) lit. d) der Verordnung (EU) 2016/679 gegen den Betreiber Genpact Romania SRL die Abhilfemaßnahme der Überprüfung und Aktualisierung der umgesetzten technischen und organisatorischen Maßnahmen, einschließlich der Arbeitsverfahren in Bezug auf den Schutz personenbezogener Daten, der Umsetzung und Übermittlung von Anweisungen zum Verbot der Verwendung der persönlichen Ausrüstung von Mitarbeitern bei verschiedenen nicht vom Unternehmen genehmigten Tätigkeiten an die verantwortlichen Personen sowie Maßnahmen zur Schulung der unter seiner Aufsicht handelnden Personen über ihre Pflichten gemäß den Bestimmungen der Verordnung (EU) 2016/679, einschließlich der Risiken und Folgen der Offenlegung personenbezogener Daten, angeordnet.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_08.05.2024&lang=ro