Medicover, amendata pentru incalcarea GDPR. A incurcat destinatarii

Medicover a fost amendata de ANSPDCP pentru incalcarea GDPR. Compania a incurcat destinatarii unor clienti si a oferit acces la datele personale sensibile ale altora dintre cei afectati de aceasta eroare.

Investigatia a fost demarata ca urmare a transmiterii de catre operator a unor notificari succesive de incalcare a securitatii datelor cu caracter personal, prin care s-a semnalat divulgarea neautorizata si accesul neautorizat la datele cu caracter personal precum: nume si prenume, CNP, serie si nr. CI, adresa CI, adresa de corespondenta, telefonul de contact si e-mail, respectiv nume si date privind starea de sanatate, transmise altor persoane fizice decat destinatarii, la adresa de e-mal sau adresa postala.

In urma investigatiei, autoritatea de supraveghere a constatat ca operatorul nu a implementat masuri tehnice si organizatorice adecvate pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, fapt ce a condus la divulgarea neautorizata si accesul neautorizat la datele cu caracter personal transmise altor persoane fizice decat destinatarii, la adresa de e-mail sau adresa postala.

Ca atare, operatorul S.C. Medicover S.R.L. a fost sanctionat contraventional cu amenda in cuantum de 9.749,6 lei (echivalentul a 2000 EURO).

De asemenea, operatorului i-au fost aplicate si urmatoarele masuri corective:

• revizuirea si actualizarea masurilor tehnice si organizatorice implementate ca urmare a evaluarii privind riscul pentru drepturile si libertatile persoanelor, inclusiv a procedurilor de lucru referitoare la protectia datelor cu caracter personal, precum si implementarea unor masuri privind instruirea periodica a persoanelor care actioneaza sub autoritatea sa, referitor la obligatiile ce le revin conform prevederilor RGPD, inclusiv cu privire la riscurile pe care le comporta prelucrarea datelor cu caracter personal, in functie de specificul activitatii, inclusiv a procedurilor de lucru referitoare la protectia datelor cu caracter personal si instruirea personalului propriu;

• identificarea si implementarea unor masuri pentru a se asigura ca datele cu caracter personal prelucrate sunt exacte si actualizate, avand in vedere scopurile pentru care sunt prelucrate, iar cele inexacte sa fie sterse sau rectificate fara intarziere (spre exemplu, un mecanism de verificare a validitatii adresei de e-mail la momentul colectarii).