avocatnet.ro 
Potrivit celui mai recent raport de activitate al ANSPDCP, incidentul a fost cauzat de un angajat al operatorului, care a efectuat un back-up (o copie de siguranță a datelor) al unor informații stocate de pe laptopul de serviciu pe un hard disk extern propriu. Dispozitivul era utilizat acasă și pentru media sharing (filme, muzică), iar în acest context datele unui număr semnificativ de persoane vizate au devenit accesibile pe internet.
Pentru că același dispozitiv era folosit acasă și pentru media sharing (vizionarea de filme, muzică), datele unui număr semnificativ de persoane (angajați și pacienți) au ajuns să fie expuse pe internet.
Concret, informațiile expuse vizau date de identificare (nume și prenume, CNP, data nașterii, vârsta și sexul), date de contact (numere de telefon și adrese de e-mail, atât personale, cât și de serviciu), precum și date administrative sau comerciale (tipul abonamentelor, istoricul accesărilor, valoarea plăților, numele medicului, ultima specialitate accesată).
În plus, au fost divulgate și înregistrări vocale, opinii exprimate în apeluri telefonice, dar și date de natură profesională - profesia, funcția, veniturile și bonusurile, evidența concediilor sau locul de desfășurare a activității.
Notă: Dispozitivele moderne (TV-uri smart, console, playere multimedia) au funcții care permit partajarea automată a fișierelor de pe un hard disk conectat, prin rețea Wi-Fi sau prin protocoale precum DLNA sau UPnP. Dacă aceste funcții nu sunt configurate corect sau sunt lăsate „publice”, nu doar televizorul din casă are acces la fișiere, ci oricine din aceeași rețea sau chiar de pe internet (în cazul în care routerul este setat să permită acces extern). În acest mod, datele confidențiale stocate pe hard disk au fost indexate și accesibile online, exact ca și cum cineva ar fi făcut „share” la un folder cu filme sau poze.
Citește și: Transmiterea copiilor actelor de identitate ale angajaților, fără consimțământ, nelegală. Angajatorul, amendat cu 10.000 de euro
Astfel, în urma investigației, autoritatea a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a garanta confidențialitatea și securitatea datelor, încălcând astfel obligațiile prevăzute la art. 32 alin. (1) lit. b), alin. (2) și alin. (4) din GDPR.
De asemenea, autoritatea a reținut că operatorul nu a luat măsuri suficiente pentru a preveni prelucrarea datelor de către angajați în afara instrucțiunilor primite, ceea ce a condus la divulgarea neautorizată a informațiilor pe internet, contrar principiului „integritate și confidențialitate” prevăzut la art. 5 alin. (1) lit. f din regulament.
Pentru aceste fapte, clinica medicală a fost sancționată cu o amendă în valoare de 24.856 RON (echivalentul a 5.000 de euro).
Pe lângă amenda aplicată, ANSPDCP a dispus și o serie de măsuri corective: revizuirea și actualizarea procedurilor interne și a măsurilor tehnice de protecție a datelor, precum și instruirea angajaților autorizați să le prelucreze, pentru conștientizarea riscurilor și consecințelor divulgării neautorizate.
Ulterior, clinica medicală a transmis autorității dovada achitării amenzii, dar și documente care atestă îndeplinirea măsurilor corective impuse.
viablebride