avocatnet.ro 
ANSPDCP a amendat un cabinet stomatologic și la un medic stomatolog, colaborator al cabinetului, ambii operatori de date, ca urmare a plângerii făcute un pacient ale cărui date de sănătate au ajuns în mediul online - mai exact, un set de fotografii și radiografii care se puteau corela cu numele pacientului au fost publicate într-un articol pe un blog de specialitate, atât în scop științific, cât și în scop comercial.
Cabinetul a fost amendat cu 1.000 de euro pentru că nu a notificat ANSPDCP cu privire la incident, deși art. 33 din GDPR obligă toți operatorii de date să notifice, în anumite condiții, Autoritatea în cazul în care are loc o încălcare a securității datelor cu caracter personal - cabinetul fiind încunoștințat despre asta de către pacient. Iar o amendă similară a fost aplicată și mediului stomatolog, pentru că nu a avut consimțământul persoanei vizate pentru publicarea acelor informații pe blog și, în mod explicit, consimțământul pentru publicarea unor date sensibile, cum sunt datele ce țin de sănătatea persoanei.
„Autoritatea Națională de Supraveghere a constatat că operatorul medic stomatolog colaborator a prelucrat, inclusiv prin utilizare și dezvăluire, datele personale privind starea de sănătate a persoanei vizate, în cadrul unui articol postat pe blogul personal, fără să prezinte dovezi privind obținerea consimțământului expres al persoanei implicate și fără informarea sa prealabilă, încălcându-se, astfel, dispozițiile art. 6 alin. (1) lit. a) și art. 9 alin. (2) lit. a) din Regulamentul (UE) 2016/679, coroborate cu prevederile art. 12-14 din același act normativ”, scrie ANSPDCP în comunicatul publicat luni.
Amenzile, însoțite și de măsuri corective pentru fiecare dintre operatorii de date, ne readuc în față, pe de o parte, necesitatea de a acorda o atenție deosebită datelor personale sensibile cum sunt cele ce țin de sănătatea persoanei, dar și că un simplu medic stomatolog are calitatea de operator de date personale și trebuie să respecte prevederile GDPR.
Încă de la începutul aplicării GDPR, în mai 2018, specialiștii au atras atenția asupra prelucrării datelor sensibile și asupra faptului că există o diferență importantă între consimțământul pacientului dat pentru serviciul medical și cel dat pentru prelucrarea datelor. În 2019, redacția noastră lista o serie de recomandări pentru cabinetele medicale și pentru stomatologi cu privire la prelucrarea datelor pacienților.
Între altele, operatorii de date trebuie să înțeleagă și că un consimțământ general oferit, care să vizeze mai multe scopuri de prelucrare (datele prelucrate vor fi folosite pentru mai multe scopuri diferite) nu e valid și că e nevoie să existe consimțământ separat pentru fiecare scop al prelucrării.
Cu alte cuvinte, în cazul de față, pacientul ar fi trebui să ofere consimțământul explicit pentru prelucrarea datelor sale prin publicarea acelui articol de blog.
wideace