Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/33

Kraj:

Szwecja

Data wydania decyzji:

07.06.2021 r.

Podmiot kontrolowany:

MedHelp AB

Wysokość kary (EUR):

1.200.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. a), f), art. 6, art. 9 ust. 1, art. 13, art. 32 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

MedHelp AB naruszyło przepisy RODO poprzez:

  1. Przekazanie danych osobowych do tajlandzkiej firmy MediCall bez odpowiednich podstaw prawnych.
  2. Niewłaściwe zabezpieczenie danych na serwerze Voice NAS, co spowodowało ich dostępność w Internecie.
  3. Brak odpowiedniej informacji dla osób dzwoniących na numer 1177 o przetwarzaniu ich danych osobowych.
  4. Brak kopii zapasowych nagrań rozmów telefonicznych.

 

Opis wydarzeń

  1. Wszczęcie postępowania: W marcu 2019 roku, w związku z doniesieniami medialnymi, szwedzki organ nadzorczy rozpoczął postępowanie kontrolne w MedHelp AB.
  2. Współpraca z MediCall: MedHelp współpracowała w zakresie udzielania porad zdrowotnych z tajlandzką firmą MediCall, która nie była objęta szwedzkimi przepisami o ochronie danych, co stanowiło naruszenie przepisów o ochronie danych osobowych.
  3. Niewłaściwe zabezpieczenie danych: Dane osobowe w formie nagrań rozmów telefonicznych były przechowywane na serwerze Voice NAS bez odpowiednich zabezpieczeń. Było to około 2,7 mln plików audio z nagraniami rozmów, odpowiadających liczbie między 650 000 a 900 000 połączeń
  4. Brak informacji dla pacjentów: MedHelp nie informowało pacjentów o przetwarzaniu ich danych osobowych.
  5. Brak kopii zapasowych: MedHelp nie tworzyło kopii zapasowych nagrań rozmów.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Obowiązek informacyjny: Należy informować osoby dzwoniące na infolinię czy call center o przetwarzaniu ich danych osobowych.
  2. Zabezpieczenie danych: Wdrożenie odpowiednich technicznych i organizacyjnych środków zabezpieczających dane osobowe, aby zapobiec ich nieautoryzowanemu ujawnieniu.
  3. Tworzenie kopii zapasowych: Regularne tworzenie kopi zapasowych nagrań rozmów i przechowywanie je w bezpieczny sposób.
  4. Przestrzeganie przepisów: Zapewnienie, że wszelkie przekazywanie danych osobowych do podmiotów zewnętrznych odbywa się zgodnie z przepisami o ochronie danych osobowych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO