Partidul AUR a fost amendat cu 25.000 de euro pentru nerespectarea datelor cu caracter personal

Partidul AUR a fost amendat cu 25.000 de euro pentru nerespectarea datelor cu caracter personal.

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat o investigație la operatorul Partidului Alianța pentru Unirea Românilor (AUR) și a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) nr. 679 din 2016, coroborat cu art. 25 alin. (1) și (2) din același act normative și ale art. 5 alin. (1) lit. c) și alin. (2), raportat la dispozițiile art. 6 alin. (1) din Regulamentul (UE) nr. 679 din 2016.  

Pentru faptele săvârșite s-au aplicat operatorului următoarele sancțiuni:

         a) amendă, în cuantum de 50.587,00 lei, echivalentul în lei al sumei de 10.000 EURO

         b) amendă, în cuantum de 75.880,50 lei, echivalentul în lei al sumei de 15.000 EURO

Investigația a fost demarată ca urmare a transmiterii de către operatorul Partidului Alianța pentru Unirea Românilor (AUR) a două notificări cu privire la încălcarea securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) nr. 679 din 2016, precum și ca urmare a unor sesizări primite de Autoritate.

a) Una dintre încălcările de securitate notificată a vizat aplicația aur.mobi utilizată și gestionată de operator a cărei vulnerabilitate a fost exploatată de un terț prin accesarea codului sursă a aplicației.

În cadrul investigației s-a constatat faptul că, urmare a unei greșeli de configurare, la momentul producerii incidentului puteau fi vizualizate în cadrul aplicației aur.mobi următoarele categorii de date cu caracter personal ale utilizatorilor acesteia (susținători/membri persoane fizice care au furnizat date cu caracter personal în aplicația operatorului): numele și prenumele, numărul de telefon, adresa de e-mail, adresa de reședință, codul numeric personal, data nașterii, naționalitatea, cetățenia, sexul, religia, profesia, ocupația, domeniul de activitate, experiența în alte domenii, studiile (instituție, specializare, dată început, dată sfârșit), experiența politică (partid, funcție, dată început, dată sfârșit), experiența administrativă (instituție, funcție, dată început, dată sfârșit), limbile străine vorbite (limbă, nivel).

Prin urmare, s-a constatat că operatorul a încălcat prevederile art. 32 alin. (1) lit. b) și d) și alin. (2), coroborat cu art. 25 alin. (1) și (2) din Regulamentul (UE) nr. 679 din 2016, întrucât acesta nu a pus în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane, incluzând capacitatea de a asigura confidențialitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, respectiv nu a implementat, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, astfel de măsuri tehnice și organizatorice adecvate. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale utilizatorilor aplicației (susținători/membrii ai partidului AUR), prin accesarea codului sursă a aplicației aur.mobi de către persoane terțe, ca urmare a interogării unei interfețe de programare vulnerabile.

b) Autoritatea Electorală Permanentă a redirecționat Autorității Naționale de Supraveghere două sesizări prin care era semnalată o posibilă încălcare a prevederilor Regulamentului (UE) nr. 679 din 2016 de către operatorul AUR, prin colectarea de date cu caracter personal (nume, prenume, serie și număr CI, adresa de domiciliu, data nașterii, email, număr de telefon, semnătură) prin platformele www.semnezsivotez.org, respectiv www.semnezsivotez.ro pentru un număr semnificativ de persoane vizate.

În cadrul investigației s-a constatat faptul că datele cu caracter personal erau prelucrate de operator în scopul informării persoanelor vizate cu privire la o campanie AUR și în scop statistic, precum și că datele prelucrate nu sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile declarate ale prelucrării.

Ca atare, s-a constatat faptul că operatorul a încălcat prevederile art. 5 alin. (1) lit. c) și alin. (2) din Regulamentul (UE) nr. 679 din 2016 prin raportare la dispozițiile art. 6 alin. (1) din Regulament, întrucât a prelucrat fără temei legal, prin intermediul site-urilor web semnezsivotez.ro și semnezsivotez.org, date cu caracter personal care nu sunt adecvate, relevante și limitate la ceea ce este necesar, în raport cu scopurile declarate ale prelucrării.

În timpul investigației operatorul a dezactivat platformele informatice semnezsivotez.ro și semnezsivotez.org

Sursa: https://www.dataprotection.ro/

Poți preveni sancțiunile doar dacă vom colabora 

         https://dpo-consultanta.ro/

    office@dpo-consultanta.ro

+40740.988.880

Oficial Media

Distribuie acest articol Oficial Media