Wysoka kara dla francuskiego administratora w branży medycznej

Francuski organ nadzorczy (CNIL) powziął informację o naruszeniach z prasy. Ujawniono w niej, że firma Dedalus Biologie, ujawniła w Internecie dane ok. 500 tys. osób. Firma ta zajmowała się sprzedażą rozwiązań w zakresie oprogramowania dla laboratoriów analiz medycznych.

W następstwie wycieku danych w internecie znalazły się:

• nazwiska, imiona,
• numery ubezpieczenia społecznego,
• nazwiska lekarzy wystawiających receptę,
• daty badań,
• informacje medyczne dotyczące stanu zdrowia licznych pacjentów (w szczególności informacje o przebytych chorobach, np. HIV, nowotwory, choroby genetyczne, poza tym informacje o ciążach, terapiach lekowych czy genetyczne).

CNIL w toku postępowania ustalił, że francuski administrator dopuścił się następujących naruszeń:

1) nadmiarowe przetwarzanie danych

Dedalus Biologie przetwarzało większą ilość danych, niż było to niezbędne do realizacji celu przetwarzania. Miało to miejsce w związku z migracją danych na inne narzędzie. Pobrano wtedy nadmiarową ilość danych.

2) niedostateczny poziom bezpieczeństwa danych

Organ nadzorczy stwierdził liczne naruszenia w zakresie stosowania technicznych i organizacyjnych środków bezpieczeństwa danych.

Poza tym firmie zarzucono korzystanie z kont użytkowników współdzielonych przez kilku pracowników w prywatnej części serwera.

3) braki w zakresie powierzenia przetwarzania

W ocenie CNIL ogólne warunki sprzedaży zaproponowane przez Dedalus Biologie a także umowy serwisowe przekazane nie były sporządzone zgodnie z prawem. Brakowało w nich bowiem treści niezbędnych do powierzenia przetwarzania danych, wymienionych w art. 28 ust. 3 RODO.