Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat Partidul AUR cu 25.000 de euro pentru încălcarea legislației privind protecția datelor personale.
Investigația a fost demarată ca urmare a transmiterii de către operatorul Partidului Alianța pentru Unirea Românilor (AUR) a două notificări cu privire la încălcarea securității datelor cu caracter personal, potrivit dispozițiilor art. 33 din Regulamentul (UE) nr. 679 din 2016, precum și ca urmare a unor sesizări primite de Autoritate.
Autoritatea a constatat încălcarea prevederilor art. 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) nr. 679 din 2016, coroborat cu art. 25 alin. (1) și (2) din același act normative și ale art. 5 alin. (1) lit. c) și alin. (2), raportat la dispozițiile art. 6 alin. (1) din Regulamentul (UE) nr. 679 din 2016.
Cele două amenzi însumate ajung la 25.000 de euro.
Una dintre încălcările de securitate notificată a vizat aplicația aur.mobi utilizată și gestionată de operator a cărei vulnerabilitate a fost exploatată de un terț prin accesarea codului sursă a aplicației.
În cadrul investigației s-a constatat faptul că, urmare a unei greșeli de configurare, în momentul producerii incidentului puteau fi vizualizate în cadrul aplicației mai multedate cu caracter personal ale utilizatorilor – susținători/membri persoane fizice care au furnizat date cu caracter personal: numele și prenumele, numărul de telefon, adresa de e-mail, adresa de reședință, CNP, data nașterii, naționalitatea, cetățenia, sexul, religia, profesia, ocupația, domeniul de activitate, experiența în alte domenii, studiile (instituție, specializare, dată început, dată sfârșit), experiența politică (partid, funcție, dată început, dată sfârșit), experiența administrativă (instituție, funcție, dată început, dată sfârșit), limbile străine vorbite (limbă, nivel).
Autoritatea a considerat că AUR nu a luat măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenția persoanei, de un număr nelimitat de persoane, incluzând capacitatea de a asigura confidențialitatea și rezistența continue ale sistemelor și serviciilor de prelucrare, precum și un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării, respectiv nu a implementat, atât în momentul stabilirii mijloacelor de prelucrare, cât și în cel al prelucrării în sine, astfel de măsuri tehnice și organizatorice adecvate. Aceasta a condus la divulgarea neautorizată și accesul neautorizat la datele cu caracter personal ale utilizatorilor aplicației (susținători/membrii ai partidului AUR), prin accesarea codului sursă a aplicației aur.mobi de către persoane terțe, ca urmare a interogării unei interfețe de programare vulnerabile.
O altă anchetă a viat două sesizări redirecționate de Autoritatea Electorală Permanentă prin care era semnalată o posibilă încălcare a prevederilor Regulamentului (UE) nr. 679 din 2016 de către operatorul AUR, prin colectarea de date cu caracter personal (nume, prenume, serie și număr CI, adresa de domiciliu, data nașterii, email, număr de telefon, semnătură) prin platformele www.semnezsivotez.org, respectiv www.semnezsivotez.ro pentru un număr semnificativ de persoane vizate.
În cadrul investigației s-a constatat faptul că datele cu caracter personal erau prelucrate de operator în scopul informării persoanelor vizate cu privire la o campanie AUR și în scop statistic, precum și că datele prelucrate nu sunt adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile declarate ale prelucrării.
Ca atare, s-a constatat faptul că operatorul a încălcat prevederile art. 5 alin. (1) lit. c) și alin. (2) din Regulamentul (UE) nr. 679 din 2016 prin raportare la dispozițiile art. 6 alin. (1) din Regulament, întrucât a prelucrat fără temei legal, prin intermediul site-urilor web semnezsivotez.ro și semnezsivotez.org, date cu caracter personal care nu sunt adecvate, relevante și limitate la ceea ce este necesar, în raport cu scopurile declarate ale prelucrării.
În timpul investigației operatorul a dezactivat platformele informatice semnezsivotez.ro și semnezsivotez.org.
[…] Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat Partidul AUR cu 25.000 de euro pentru încălcarea legislaței privind protecția datelor personale. Investigația a fost demarată ca urmare a transmiterii de către operatorul Partidului Alianța pentru Unirea Românilor (AUR) a două notificări cu privire la încălcarea securității datelor cu caracter personal, potrivit […] Citeste mai mult […]