Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat Partidul AUR cu 25.000 de euro pentru încălcări grave ale Regulamentului european privind protecția datelor (GDPR). Sancțiunea vine după două investigații separate, care au arătat că AUR a gestionat defectuos datele personale ale susținătorilor și ale cetățenilor care au interacționat cu partidul online.
Ce s-a întâmplat mai exact?
ANSPDCP a identificat două situații problematice:
- Aplicația celor de la AUR a expus public datele personale ale susținătorilor
Prima investigație a pornit de la o notificare trimisă chiar de AUR, după ce un incident de securitate a dus la scurgerea unor date sensibile prin aplicația aur.mobi. Din cauza unei greșeli de configurare, orice persoană care exploata vulnerabilitatea putea vedea informații personale precum:
• nume și prenume
• număr de telefon
• adresă de e-mail și domiciliu
• cod numeric personal (CNP)
• data nașterii
• naționalitate, cetățenie, sex, religie
• profesie, ocupație, domeniu de activitate
• experiență profesională și politică
• studii și limbi străine vorbite
Concret, aplicația nu era protejată corespunzător, iar aceste date puteau fi accesate printr-o interfață de programare vulnerabilă, fără intervenția sau acordul persoanei vizate. AUR nu implementase măsuri tehnice de securitate, cum ar fi testarea regulată a aplicației sau protejarea datelor împotriva accesului neautorizat.
Pentru acest incident, AUR a fost amendat cu 10.000 de euro.
- Site-urile semnezsivotez.ro și semnezsivotez.org – date colectate fără justificare legală
A doua investigație a pornit de la sesizări redirecționate de Autoritatea Electorală Permanentă. AUR a colectat date personale de pe site-urile www.semnezsivotez.ro și www.semnezsivotez.org fără a respecta principiile GDPR.
Datele colectate includeau:
• nume și prenume
• seria și numărul cărții de identitate
• adresa de domiciliu
• data nașterii
• adresa de email
• număr de telefon
• semnătură
Aceste date erau folosite, conform partidului, pentru informarea persoanelor despre o campanie AUR și în scopuri statistice. Însă Autoritatea a constatat că multe dintre aceste informații nu erau relevante pentru scopul declarat și că nu exista o bază legală clară pentru colectarea lor.
Pentru această abatere, AUR a primit o amendă de 15.000 de euro.
GDPR prevede că orice organizație care colectează și procesează date personale trebuie:
• să asigure confidențialitatea și securitatea datelor
• să colecteze doar datele strict necesare
• să aibă un temei legal clar pentru fiecare tip de prelucrare
În cazul AUR, autoritatea a constatat că partidul a ignorat toate aceste reguli, expunând zeci sau sute de persoane la riscul de a le fi folosite datele fără acord sau pentru alte scopuri decât cele declarate.
Ce urmează? Amenda de 25.000 de euro este una dintre cele mai mari aplicate unui partid politic în România pentru încălcarea regulilor privind protecția datelor. AUR ar putea contesta sancțiunea în instanță, însă autoritățile spun că investigațiile vor continua dacă vor apărea noi plângeri sau nereguli.
 a amendat Partidul AUR cu 25.000 de euro pentru încălcări grave ale Regulamentului european privind protecția datelor (GDPR). Sancțiunea vine după două investigații separate, care au arătat că AUR a gestionat defectuos datele personale ale susținătorilor și ale cetățenilor care au interacționat cu partidul online.){kind=link}