55.000 euro amenda GDPR aplicată unui SPITAL pentru nedesemnarea DPO-ului

Administratie Publica

Vizualizari: 13763

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Conform unui comunicat al Comitetul European pentru Protecția Datelor, la 12 august 2019, Autoritatea de supraveghere austriacă a aplicat o amendă administrativă unui operator care activează în sectorul medical.

Pe parcursul investigației, autoritatea de supraveghere austriacă a descoperit următoarele:

  • operatorul nu a numit niciun Responsabil cu protecția a datelor (DPO), nici nu a publicat datele de contact ale acestuia și nici nu le-a raportat autorității de supraveghere
  • operatorul a obligat persoanele vizate să își dea consimțământul pentru o prelucrare a datelor, care nu îndeplinea criteriile prevăzute la art. 7 GDPR: Condiţii privind consimţământul
  • și-a încălcat datoria de a furniza informații în conformitate cu art. 13, 14 GDPR. 
  • în ciuda manipulării datelor sensibile, nicio evaluare a impactului protecției datelor, în conformitate cu art. 35 GDPR, a fost efectuat. 

Considerand toate cele de mai sus, autoritatea de supraveghere austriacă a decis sancționarea operatorului cu o amendă administrativă de 55.000 EURO (din care 5.000 EUR costuri procedurale).

De ce este interesantă această amendă, pe scurt:

  1. Este cea mai mare amendă impusă de autoritatea austriacă de la intrarea in vigoare a GDPR-ului
  2. Este prima amendă din Europa care vizează încălcarea obligației privind desemnarea unui DPO
  3. Este prima sancțiune pentru lipsa evaluării a impactului asupra protecției datelor ce vizează un operator din sectorul medical

Tot mai mulți operatori din sectorul medical vizați de sancțiuni pentru încălcarea GDPR

  1. Spitalul din Haga a fost sancționat pentru încălcarea articol 32 din GDPR, după ce zeci de angajați ai spitalului au studiat dosarul medical al unui pacient foarte cunoscut, fără a avea un motiv real pentru a face asta. În urma investigației, Autoritatea a impus Spitalului Haga o amendă de 460.000 de euro pentru neasigurarea unui grad adecvat de securitate al datelor.  Am scris mai multe despre această amendă aici
  2. Un spital din portugalia a fost sancționat cu 400.000 euro pentru că  personalul spitalului, psihologii, dieteticienii și alți profesioniști au avut acces la datele despre pacienți prin profiluri false. Spitalul avea 985 de profiluri de medici înregistrate, având doar 296 de medici. Mai mult, medicii au avut acces fără restricții la toate dosarele de pacienți, indiferent de specialitatea medicului.
  3. Un spital de stat din Cipru a fost sancționat cu 5.000 de euro pentru neacordarea accesului la dosarul sau medical unui pacient.

Cine este obligat să își desemneze un Responsabil cu Protecția Datelor (DPO) ?

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune de informare, de consiliere și de control în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:

  • este o autoritate publică sau un organism public, cu excepţia instanţelorîn exercitarea funcţiei lor jurisdicţionale;
  • desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
  • desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.

Conform ghidului ANSPDCP privind desemnarea unui responsabil cu protecția datelor, spitalul este dat exemplu ca operator care are această obligație având în vedere preclurarea pe scară largă a datelor privind starea de sănătate și un cabinet medical individual nu are această obligație datorită cantității limitate de date privind starea de sănătate.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor (de exemplu un cabinet medical individual), ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.

Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii și respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor:

  • să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter
    personal;
  • să monitorizeze respectarea GDPR și a legislaţiei naţionale în domeniul protecţiei datelor;
    să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor și să verifice efectuarea acestora;
  • să coopereze cu autoritatea pentru protecţia datelor și să reprezinte punctul de contact în relaţia cu aceasta.

 

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Digisign ofera un cadou fiecarui absolvent al cursului online GRATUIT

Administratie Publica

Vizualizari: 39844

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Astazi, 23 Aprilie 2020, este lansat un nou curs online actualizat, oferit GRATUIT, avand tema "Informatii introductive despre utilizarea semnaturilor electronice" si care isi propune sa ofere informații generale despre cerintele legale in vigoare in privinta certificatelor digitale, tipologia si caracteristicile semnaturilor electronice si facilitatile obtinute prin utilizarea acestora.

Cuprinsul cursului online "Informatii introductive despre utilizarea semnaturilor electronice" este urmatorul :

1. Informatii generale, aspecte legislative
2. Semnatura electronica extinsa
3. Ce este certificatul digital calificat ?
4. Semnatura electronica vs. semnatura olografa pe hartie
5. Cum functioneaza sistemul de semnare si verificare a semnaturii electronice?
6. Intrebari si raspunsuri legate de semnatura electronica
7. Resurse utilile in utilizarea certificatului digital

Acest curs GRATUIT poate fi utilizat de Responsabilul cu Protectia Datelor (DPO) pentru a asigura informarea angajatilor operatorului de date, obtinand astfel si dovada instruirii acestora prin obtinerea Certificatului de Absolvire emis de dpo-NET.ro.

Pentru inscrierea la cursul GRATUIT este nevoie sa aveti un cont cu acces la cursurile online dpo-NET.ro.

Daca nu ati solicitat inca un astfel de cont, o puteti face GRATUIT prin completarea urmatorului formular: https://dpo-net.ro/solicitare-cont-acces-cursuri-online/, urmand ca in maxim 48 de ore sa primiti un email de confirmare privind inregistrarea, cu detalii despre autentificarea in sistem. 

Cadou DIGISIGN pentru absolventii acestui curs

DigiSign sustine educatia si recompenseaza absolventii cursului online „Informatii introductive privind utilizarea semnaturilor electronice”, oferit gratuit de DPO-NET.RO.

Fiecare absolvent a acestui curs beneficiaza de 50% discount din valoarea certificatului Digisign ( www.digisign.ro) si in plus primeste si Tokenul gratuit. Promotia este valabila pana la 31.07.2020, pentru certificatele cu valabilitate 1 an de zile, codul de reducere fiind reprezentat de codul unic al certificatului de absolvire. 

La finalul cursului se va accesa un chestionar grila cu zece intrebari alese aleatoriu din baza de date si daca rezultatul final al raspunsurilor corecte depaseste procentul de 70%, cursantul obtine automat un Certificat de Absolvire. 

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Președintele Republicii Moldova a făcut public numele unui pacient infectat cu coronavirus

Administratie Publica

Vizualizari: 21156

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Conform site-ului de striri realitatea.md,  Igor Dodon, Președintele Republicii Moldova,  a dezvăluit în timpul conferinței de presă  numele si prenumele femeii care a fost diagnosticată pozitiv cu coronavirus și care se află internată în prezent la Spitalul Clinic Republican, pentru tratament și monitorizare permanentă.

Conform aceleiasi surse, fiul pacientei, care a decis să ofere o explicație presei despre mama sa, a rugat portalul de știri să-i păstreze identitatea în anonimat pentru eventuale comentarii negative în spațiul public.

Conform legislatiei naționale in vigoare in Republica Moldova, " Culegerea ilegală sau răspîndirea cu bună-ştiinţă a informaţiilor, ocrotite de lege, despre viaţa personală ce constituie secret personal sau familial al altei persoane fără consimţămîntul ei se pedepseşte cu amendă în mărime de pînă la 650 unităţi convenţionale sau cu muncă neremunerată în folosul comunităţii de la 180 la 240 de ore."

Intr-o postare publica, Sergiu Bozianu, Președinte al Asociației pentru Protecția Vieții Private, a declarat:

"Publicarea numelui pacientului NU se admite și reprezintă o încălcare a drepturilor pacientului și a regimului juridic al protecției datelor cu caracter personal. În raport cu această persoană au fost comunicate suficiente detalii: nume, prenume, vârsta, țara de unde a venit și orașul, diagnoza, instituția medicală în care se tratează - informații care identifică în mod inerent persoana fizică. Urmează să vedem cum va reacționa CNPDCP, însă este un prim caz expus tranșat publicului larg. Trebuie să ținem cont că această persoană în primul rând este pacient (persoană care are nevoie de îngrijire medicală), inclusiv are copii, rude, prieteni - care într-un final vor avea de suferit.

Mai mult, Art. 6 alin (2) din Legea nr 133 privind protecția datelor cu caracter personal stabilește că Centrul Naţional pentru Protecţia Datelor cu Caracter Personal poate dispune, din motive întemeiate, interzicerea prelucrării categoriilor speciale de date cu caracter personal, chiar dacă subiectul datelor şi-a dat consimţămîntul, iar acesta nu a fost retras, cu condiţia ca interdicţia să nu fie înlăturată prin unul din cazurile stabilite la alin. (1) lit. b)–g)."

 

INTRA ACUM în grupul WhatsApp "Comunitatea Dpo-NET.ro"!


Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Fenomenul FAKENEWS pierdut de sub control. „Spălați-vă mâinile, nu creierele!”

Acum câteva zile am citit întâmplător pe Fecebook un îndemn, „Spălați-vă mâinile, nu creierele!”. Acesta a fost și momentul în care am realizat că fenomenul Fakenews în România […]

Participa la DPO TOOLS Workshop – 23 / 24 Martie 2020 – „Mobilitatea, o provocare pentru aplicarea GDPR”

La nivelul dispozitivelor mobile, au aparut in ultima perioada noi variante de atacuri informatice menite de a extrage informatii cu caracter personal cunoscute sub forma furtului de identitate […]

Trevor Hughes, CEO IAPP: „În domeniul protecției datelor, avem o nouă profesie hibridizată”

Participând la cea de-a 13-a ediție a Conferinței pentru informatică, confidențialitate și protecția datelor (CPDP2020), desfășurată la Bruxelles în perioada 22-24 ianuarie 2020, Trevor Hughes, Președintele Asociației Internaționale […]

MODELE SI FORMULARE GDPR – O nouă carte în webshop-ul dpo-NET.ro

O nouă lucrare de mare interes a fost adaugată în webshop-ul dpo-NET.ro, fiind o contributie a membrilor Centrului de cercetare pentru protectia datelor, constituit in cadrul Universitatii de […]

Nicolae Ploeșteanu: „Consider că fiecare practician trebuie să aibă această carte”

In domeniul protecției datelor în România, anul 2020 a debutat cu lansarea pe piață a acestui volum, intituat „GDPR Aplicat. Instrumente de lucru pentru implementarea Regulamentului UE 679/2016”, […]

PECB semnează un acord de parteneriat cu NeoPrivacy România și lansează cursuri de certificare recunoscute internațional

PECB Group Inc. Canada a anunțat semnarea un nou acord de parteneriat cu NeoPrivacy România, pentru a distribui cursuri de formare PECB, recunoscute internațional. „Suntem foarte încântați de […]

Facebook forțat să amâne lansarea noului serviciu de dating în Europa

Cu numai 36 de ore înainte de Ziua Îndrăgostiților, Facebook a fost forțat să amâne lansarea in Europa a noului său serviciu, Facebook Dating, în urma intervenției Autoritatii […]

Dispozițiile legale care au permis accesul partidelor la listele suplimentare sunt neconstituționale

Conform unui comunicat de presă transmis de ASCPD – Asociația Specialiștilor în Confidențialitate și Protecția Datelor, suntem informati ca avocatul Poporului a sesizat Curtea Constituțională cu privire la dispozițiile […]

Anul 2019 văzut prin ochii unui GDPR-ist, 10 momente memorabile

Este sfarsit de an si fiind un moment de bilant nu pot sa nu ma gandesc la cat de multe lucruri am realizat pe plan profesional si mai […]

EDPB a realizat cea mai mare arhivă digitală dedicată specialiștilor în PDP

Deși a trecut abia un an și jumătate de la intrarea în vigoare a Regulamentului (UE) 2016/679, mulți dintre cei implicați implicați în procesul de aliniere la acest […]

Un funcționar public condamnat la 6 luni cu suspendare pentru încalcarea GDPR

Conform unui comunicat transmis de Autoritata de Supraveghere din Marea Britanie (ICO),  un fost angajat în cadrul Departamentului de asistență și servicii sociale din Dorset a fost urmărit […]

A început Războiul de independență al operatorilor de date din România

Nu știu alții cum sunt dar eu când mă gândesc la operatorii de date cu caracter personal care își proclamă independența peste noapte mă apucă panica. Numai în […]

Legea care a permis partidelor să copieze listele suplimentare încalcă GDPR-ul!?

Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 (Regulamentului general privind protecţia datelor), în vigoare de la 31 iulie 2018, „riscă” să fie […]

ACTIVITATEA AUTORITĂȚII CERT-RO CONTINUĂ SĂ FIE FINANȚATĂ DE LA BUGETUL DE STAT ȘI ÎN ANUL 2020

Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice (sau „Legea NIS”), a suferit câteva modificări prin Legea nr. 231 din […]

Dacă ai votat pe listele suplimentare partidele au aflat totul despre tine. Iată ce poți face

Peste 1.700.000 de votanți au fost înscriși pe listele suplimentare din țară și din străinătate în timpul alegerilor pentru Președintele României din data de 10 Noiembrie 2019. Dacă […]

Protecția datelor personale, subiect controversat în practica instituțiilor publice și a agenților economici din România

Deși a trecut un și jumătate de punere în aplicare a Regulamentului general privind Protecția Datelor cu Caracter Personal (GDPR), încă există multe semne de întrebare cu privire […]

ANAF-ul impune actualizarea documentelor pentru a respecta GDPR

Clienții IFN-urilor si a CAR-urilor trebuie să semneze un nou acord​ prin care sunt de acord ca împrumutătorul să transmită datele personale la ANAF în vederea interogării informațiilor […]

15 recomandări GDPR pentru managerul de spital

“Mie nu mie se poate intampla, am băieți tineri și destepti la IT”  este argumentul unui manager de spital pentru a justifica lipsa de interes, resurse și timp […]

ANSPDCP a publicat Raportul activității sale în decursul anului 2018

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a publicat pe site-ul său un Raport al activității sale în decursul anului 2018. Conform Raportului, în anul […]

Poliția Română interzice utilizarea Whatsapp în interes de serviciu

Una rece, alta caldă După ce am criticat modul în care Inspectoratul General al Poliției Române (IGPR) a întocmit caietul de sarcini al achiziției controversatului sistem de recunoaștere […]