L’Autorité nationale de contrôle du traitement des données personnelles a conclu, en février de cette année, une enquête auprès de l’opérateur Velvet Medical SRL et a constaté une violation des dispositions de l’art. 12 paragraphe. (1) – (4) du Règlement général sur la protection des données (RGPD), en relation avec l’art. 15 paragraphe. (3) du RGPD.
À ce titre, l’opérateur a été sanctionné d’une amende de 4 976,4 lei, soit l’équivalent de 1 000 euros .
L’enquête a été ouverte à la suite d’une plainte dans laquelle le requérant se plaint du refus de l’opérateur Velvet Medical SRL de répondre à sa demande de recevoir des données médicales, respectivement les documents du dossier médical. Par la suite, le requérant a déposé une nouvelle demande d’accès à ses données, mais l’opérateur n’a pas répondu cette fois encore.
Au cours de l’enquête, l’Autorité nationale de contrôle a constaté que Velvet Medical SRL n’avait pas présenté de preuves démontrant qu’elle avait répondu à la demande du requérant par laquelle il avait exercé son droit d’accès à ses données médicales.
Il a également été constaté que l’opérateur n’a pas présenté de preuve de communication d’une réponse appropriée et complète à la deuxième demande d’accès du requérant adressée à l’opérateur, violant ainsi les dispositions de l’art. 12 paragraphe. (1) – (4) du RGPD, en relation avec l’art. 15 paragraphe. (3) du RGPD.
Parallèlement, conformément aux dispositions de l’art. 58 paragraphe. (2) lettre. c) et d) du règlement (UE) 2016/679, l’exploitant Velvet Medical SRL a également été sommé de prendre les mesures correctives suivantes :
- d’envoyer une réponse complète à la demande du pétitionnaire, par courrier électronique, à partir de l’adresse officielle de l’opérateur, en communiquant de manière sécurisée les données personnelles demandées, en se référant aux dispositions de l’art. 15 paragraphe. (3) et (4) du RGPD ;
- pour assurer le respect du RGPD des opérations de traitement des données personnelles, en adoptant les mesures techniques et organisationnelles nécessaires, y compris en termes de formation appropriée du personnel désigné à cet effet, afin que l’opérateur soit en mesure d’analyser, de résoudre correctement et de répondre de manière appropriée aux demandes par lesquelles les personnes concernées exercent leurs droits, dans les délais et selon les conditions prévus à l’art. 12-23 du RGPD
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_27.02.2025&lang=ro