ANSPDCP. Operator sancționat cu 5.000 euro pentru dezvăluirea datelor personale

Miercuri, 18 mai 2022, Autoritatea Națională de Supraveghere a anunțat că a finalizat o investigație la operatorul Kredyt Inkaso Investments RO S.A. și a constatat încălcarea dispozițiilor art. 5, art. 6, art. 9 și art. 33 din Regulamentul General privind Protecția Datelor (RGPD), potrivit unui comunicat.

Operatorul a fost sancționat contravențional cu amendă în cuantum de 24.740 lei (echivalentul sumei de 5.000 EURO).

Investigația a fost demarată ca urmare a unei plângeri formulate de o persoană vizată care a reclamat faptul că operatorul Kredyt Inkaso Investments RO S.A. a dezvăluit datele sale personale și ale copilului său minor către anumite unități medicale.

În cadrul investigației efectuate, s-a constatat că operatorul a dezvăluit datele petentei (adresa de domiciliu, cod numeric personal, funcția deținută, date privind contractul de muncă, date din certificatele de concediu medical) către anumiți medici și anumite unități medicale cu care aceasta nu avea niciun fel de raporturi juridice.

De asemenea, s-a constatat că prelucrarea datelor privind starea de sănătate ale petentei nu putea fi efectuată în temeiul interesului legitim întrucât acesta nu se regăsește printre condițiile de prelucrare prevăzute de art. 9 din RGPD.

Așadar, operatorul a prelucrat ilegal datele personale ale petentei prin dezvăluirea ilegală și excesivă a acestora, inclusiv a datelor privind starea de sănătate, cu încălcarea principiilor de prelucrare pevăzute de art. 5 alin. (1) lit. a), c), alin. (2) și a condițiilor de legalitate prevăzute de art. 6 și art. 9 din RGPD.

Totodată, s-a constatat că operatorul nu a respectat termenele pentru notificarea incidentului de securitate produs în momentul dezvăluirii datelor petentei către un medic cu care petenta nu avea raporturi juridice, încălcându-se astfel prevederile art. 33 din RGPD.

Totodată, operatorului i s-au aplicat și un avertisment.