Личен лекар пращал SMS съобщения на пациентите, че вече няма да работи в здравното заведение и ги кани при друг доставчик на здравни услуги, за което получава глоба от 1153 евро. А българският таксиметров шофьор видеограф колко ли ще получи, ако беше от Литва?
Държавната инспекция по защита на данните (SDPI) на Литва наложи глоба в размер на 450 000 евро на UAB InMedica за нарушения на сигурността на личните данни.
SDPI проведе две проверки на медицински компании, които по-късно бяха обединени в една проверка.
SDPI, като взема предвид информацията, достъпна за обществеността през септември 2024 г.(епизодът на Скирмантас Малинаускас „Nulaužta Lietuva“ („Хакната Литва“) от 8 септември 2024 г.) относно нарушение на лични данни (наричано по-долу PDB), в което се посочва, че трета страна е получила достъп до вътрешната система за управление на данни на UAB Kardiolita (наричана по-долу Дружество 1), която съдържа личните данни на субектите на данни (системата за информация за пациентите), е провела мониторинг на съответствието с GDPR на Дружество 1. След мониторинга е решено да се започне разследване по собствена инициатива, въз основа на съмнение, че може да е имало нарушение на GDPR.
Друга проверка е започната по собствена инициатива след получаване на сигнал относно PDB от UAB InMedica (наричана по-долу Дружество 2). Дружество 2 е претърпяло атака за криптиране на данни и откуп, при която трета страна е криптирала данни на четири системи. Тези системи са били използвани за обработка на личните данни на пациенти и служители.
След извършване на първоначалната си проверка на Компания 1, SDPI установява, че по време на PDB не е осигурено адекватно ниво на сигурност на личните данни, т.е. PDB е възникнал, защото Компания 1 не е осигурила в достатъчна степен контрол на достъпа и е използвала неправилно удостоверяване при влизане в системата, съдържаща лични данни (когато служители са влизали чрез външна мрежа (интернет), не е прилагано многофакторно удостоверяване, достъпът не е ограничен само до оторизирани лица, а паролите за вход не отговарят на определено ниво на сложност).
След извършване на втора проверка на Компания 2, SDPI установи, че по време на PDB засегнатите системи на Компания 2 също не са успели да осигурят адекватно ниво на сигурност на личните данни. Компания 2 не е осигурила адекватно контрол на достъпа и удостоверяване, т.е. не е прилагано многофакторно удостоверяване, когато привилегировани потребители са влизали през външна мрежа (интернет), и достъпът не е бил ограничен само до оторизирани лица.
Тъй като UAB InMedica е правоприемник на правата и задълженията на UAB Kardiolita, считано от 25 юни 2025 г., глобата е наложена на UAB InMedica. Административната глоба е наложена за нарушения на разпоредбите на член 24(1), член 32(1)(б) и член 5(1)(е) от GDPR .
Решението може да бъде обжалвано в съда в едномесечен срок от датата на уведомяването.
На 12.06.2026 г. SDPI написа, че На лекар е наложена глоба за нарушения на защитата на личните данни.
Държавната инспекция по защита на данните (SDPI) глобила с 1153 евро лекар за нарушения, свързани с обработката на лични данни.
През декември 2024 г. SDPI започва разследване, след като получава уведомление за нарушение на сигурността на лични данни от публичната институция „Център за първична медицинска помощ в Шакяй“. След разследването на инцидента SDPI установява признаци, че лекарят Реда Науйокайтиене може да е обработвал незаконно личните данни на пациентите. Вследствие на това, през август 2025 г. Инспекторатът започва официална проверка на поведението на лекаря.
Разследването установява, че въпреки че е знаела, че трудовото ѝ правоотношение в здравното заведение е към своя край, д-р Науйокайтиене многократно е осъществявала достъп до информационната система на Центъра за първична медицинска помощ в Шакяй, най-често във вечерни часове. По време на тези сесии тя е преглеждала личните данни на 1231 пациенти и впоследствие е използвала тази информация, за да изпраща имейли и SMS съобщения, с които е информирала пациентите, че вече няма да работи в заведението и ги е канила да „продължат отношенията“ с друг доставчик на здравни услуги.
Наложена е административна глоба за нарушения на член 5(1)(а), член 6(1) и член 9(2) от Общия регламент относно защитата на данните (ОРЗД/GDPR). При определяне на размера на глобата, SDPI взе предвид отегчаващите вината обстоятелства, установени по време на проверката. Не са открити смекчаващи вината обстоятелства.
Решението може да бъде обжалвано пред съда в едномесечен срок от датата на връчването му.


