31.01.2023
Sancțiune pentru încălcarea RGPD
Autoritatea Națională de Supraveghere a finalizat în luna decembrie 2022 două investigații la un cabinet stomatologic și la un medic stomatolog, colaborator al cabinetului stomatologic, ambii operatori de date cu caracter personal.
Astfel, s-a constatat că:
- operatorul Dent Estet Clinic SA a încălcat dispozițiile art. 33 din Regulamentul (UE) 2016/679 și i s-a aplicat sancțiunea contravențională a amenzii în cuantum de 4.919,2 lei (echivalentul a 1000 EURO) și o măsură corectivă;
- operatorul medic stomatolog, colaborator al Dent Estet Clinic SA, a încălcat dispozițiile art. 6 alin. (1) lit. a) și ale art. 9 alin. (2) lit. a) din Regulamentul (UE) 2016/679 coroborat cu art. 12-14 din același act normativ și i s-a aplicat sancțiunea contravențională a amenzii în cuantum de 4.919,2 lei (echivalentul a 1000 EURO) și o măsură corectivă.
Investigațiile au fost demarate ca urmare a unei plângeri transmise de o persoană vizată prin care s-a reclamat faptul că operatorii Dent Estet Clinic SA și medicul colaborator i-au divulgat datele de sănătate în mediul online.
În cadrul investigațiilor efectuate, s-a constatat că operatorii au divulgat informații medicale referitoare la tratamentul ortodontic al petiționarului Autorității, constând într-un set de fotografii și radiografii care se puteau corela cu numele persoanei, prin publicarea unui articol pe un blog de specialitate. Aceste informații au fost publicate atât în scop științific, cât și în scop comercial.
S-a constatat că operatorul Dent Estet Clinic SA, deși a fost încunoștiințat chiar de petiționar despre divulgarea neautorizată a datelor sale personale privind starea de sănătate, nu a notificat Autoritatea Națională de Supraveghere, în termen de cel mult 72 de ore de la data la care a luat la cunoștință de încălcarea de securitate, încălcând astfel art. 33 din Regulamentul (UE) 2016/679.
Operatorului Dent Estet Clinic SA i s-a aplicat și măsura corectivă de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, prin punerea în aplicare a unor măsuri de securitate tehnice și organizatorice adecvate specificului prelucrării și riscurilor identificate, pe întreg ciclul de prelucrare a datelor, sub aspectul instruirii corespunzătoare a persoanelor împuternicite și a altor persoane care prelucrează date sub autoritatea sa și a respectării condițiilor de legalitate a prelucrării și a informării complete a persoanelor vizate.
Totodată, Autoritatea Națională de Supraveghere a constatat că operatorul medic stomatolog colaborator a prelucrat, inclusiv prin utilizare și dezvăluire, datele personale privind starea de sănătate a persoanei vizate, în cadrul unui articol postat pe blogul personal, fără să prezinte dovezi privind obținerea consimțământului expres al persoanei implicate și fără informarea sa prealabilă, încălcându-se, astfel, dispozițiile art. 6 alin. (1) lit. a) și art. 9 alin. (2) lit. a) din Regulamentul (UE) 2016/679, coroborate cu prevederile art. 12-14 din același act normativ.
Operatorului medic stomatolog i s-a aplicat și măsura corectivă de a asigura conformitatea cu Regulamentul (UE) 2016/679 a operațiunilor de prelucrare a datelor personale, astfel încât prelucrarea datelor personale ale pacienților să fie prelucrate cu stricta respectare a dispozițiilor legale privind prestarea serviciilor medicale și protecția datelor personale. De asemenea, în cazul utilizării datelor personale ale acestora în alte scopuri, s–a dispus să respecte toate condițiile de legalitate a prelucrării și de informare a persoanelor vizate, în funcție de scopurile prelucrării și categoriile de date prelucrate, cu luarea a măsurilor necesare de anonimizare sau pseudonimizare a datelor, acolo unde este cazul.
Direcția juridică și comunicare
A.N.S.P.D.C.P.