L’autorité nationale de contrôle du traitement des données à caractère personnel a mené à bien deux enquêtes auprès de deux opérateurs et a constaté une violation de l’article 32, paragraphe 2, du GDPR. (L’article 32, paragraphe 1, point b), et l’article 32, paragraphe 1, point b), ont été violés. (2) et (3) de l’article 32 (2) et (3) du Traité CE. (4) du règlement (UE) 2016/679.
Ainsi :
1.L’opérateur MEDICOVER SRL a été condamné à une amende de 4 970,30 lei (équivalent à 1 000 EUR).
L’enquête a été ouverte à la suite de la transmission par l’opérateur de la notification de la violation de données à caractère personnel.
La violation de données s’est produite à la suite de la divulgation non autorisée de données à caractère personnel provenant d’un rapport de consultation médicale à un autre patient auquel elles n’étaient pas destinées.
L’enquête a révélé que le responsable du traitement n’a pas pris de mesures pour s’assurer que toute personne physique agissant sous son autorité qui a accès à des données à caractère personnel ne les traite qu’à la demande du responsable du traitement et n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque du traitement, y compris la capacité d’assurer la confidentialité et l’intégrité des systèmes et des services de traitement.
Cette situation a donc entraîné une perte de confidentialité des données à caractère personnel traitées, en raison de la divulgation et de l’accès non autorisés à des données à caractère personnel (telles que le nom, le prénom, la date de naissance, l’âge, le motif de la visite, les antécédents pathologiques personnels, le diagnostic, les conclusions et les recommandations, les médicaments prescrits, l’hospitalisation, les références pour analyse/consultation) d’un patient, en remettant le rapport médical de la consultation à un autre patient.
- L’opérateur IRIDEX GROUP SALUBRIZARE SRL a été condamné à une amende de 9.951,80 lei (équivalent à 2.000 EUR).
L’enquête a été ouverte à la suite d’une plainte déposée par un particulier.
La violation de la sécurité des données s’est produite à la suite de l’envoi d’un message électronique collectif aux adresses électroniques des clients de la société, qui étaient visibles par tous.
Au cours de l’enquête, il est apparu que le responsable du traitement n’avait pas pris de mesures pour s’assurer que toute personne physique agissant sous son autorité et ayant accès à des données à caractère personnel ne les traite qu’à sa demande, et n’avait pas mis en œuvre les mesures techniques et organisationnelles adéquates pour garantir un niveau de sécurité approprié au risque de traitement, y compris la capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience continue des systèmes et des services de traitement.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_09_05_2024&lang=ro