Amendă administrativă în valoare de 1,5 milioane de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor companiei Dedalus Biologie pentru încălcarea articolelor 28, 29 și 32 din GDPR

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 1,5 milioane de euro aplicată de către Autoritatea Franceză pentru Protecția Datelor (CNIL) companiei Dedalus Biologie pentru încălcarea articolelor 28, 29 și 32 din GDPR.

La data de 23 februarie 2021, în presă a fost dezvăluită o încălcare masivă a datelor cu caracter personal privind aproape 500.000 de persoane, de către compania Dedalus Biologie. Numele, prenumele, numărul de asigurare socială, numele medicului prescriptor, data examinării, dar mai ales informațiile medicale (HIV, boli genetice, tratament medicamentos sau date genetice) ale acestor persoane au fost publicate pe internet.

Autoritatea franceză pentru Protecția Datelor a efectuat mai multe investigații la fața locului și online, referitor la compania Dedalus Biologie, care vinde soluții software pentru laboratoarele de analize medicale. Pe baza elementelor colectate în timpul investigațiilor, CNIL a identificat trei încălcări. În primul rând, în contextul migrării unui pachet software către un alt instrument, solicitat de două laboratoare care utilizează serviciile Dedalus Biologie, acesta din urmă a extras un volum de date mai mare decât cel cerut. Prin urmare, compania a prelucrat date dincolo de instrucțiunile impuse de operatorul de date și nu a respectat articolul 29 din GDPR. În al doilea rând, compania nu a asigurat securitatea datelor cu caracter personal, contrar articolului 32 din GDPR. Numeroase breșe tehnice și organizatorice au fost constatate în contextul migrării software-ului către un alt soft: lipsa unei proceduri specifice pentru operațiunile de migrare a datelor; lipsa criptării datelor cu caracter personal stocate pe serverul companiei; lipsa ștergerii automate a datelor după migrarea către alt soft; lipsa autentificării necesare de pe internet pentru a accesa zona publică a serverului; lipsa unei proceduri de monitorizare și raportare a alertelor de securitate pe server. Totodată s-a stabilit că, condițiile generale de vânzare propuse de Dedalus Biologie și contractele de mentenanță transmise către CNIL nu conțineau mențiunile prevăzute la articolul 28 alineatul (3) din GDPR.

În acest context, CNIL a impus operatorului o amendă administrativă în valoare de 1,5 milioane de euro pentru încălcarea articolelor 28, 29 și 32 din GDPR și a făcut publică decizia.

CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.