Autoritatea Națională de Supraveghere a finalizat în luna februarie a anului curent o investigație la operatorul Alianța pentru Unirea Românilor și a constatat încălcarea prevederilor art. 5 alin. (1) lit. c) și alin. (2) din Regulamentul General privind Protecția Datelor (RGPD).
Ca atare, Alianța pentru Unirea Românilor a fost sancționată cu amendă în cuantum de 49.115 lei, echivalentul a 10.000 EURO.
Sancțiunea a fost aplicată ca urmare a unor sesizări prin care se reclama faptul că operatorul colectează date cu caracter personal prin intermediul unui site, fără a realiza informarea persoanelor vizate și fără îndeplinirea condițiilor privind legalitatea prelucrării.
În cadrul investigației efectuate s-a constatat faptul că date cu caracter personal (nume, prenume, adresă, serie și număr carte de identitate, cod numeric personal, telefon, semnătură) erau colectate prin completarea și semnarea formularului on-line de pe site-ul respectiv, prin transmiterea formularului descărcat/completat/semnat prin poștă, precum și prin completarea și semnarea formularului la centrele speciale organizate de Alianța pentru Unirea Românilor.
Această situație a condus la prelucrarea datelor cu caracter personal a unui număr semnificativ de persoane vizate cu încălcarea principiilor de prelucrare a datelor cu caracter personal prevăzute la art. 5 alin. (1) lit. c) (“reducerea la minimum a datelor”) și alin. (2) din RGPD (”responsabilitate”).
De asemenea,
Autoritatea Națională de Supraveghere a finalizat în luna februarie a anului curent o altă investigație la operatorul Partidul Uniunea Salvați România și a constatat încălcarea prevederilor art. 32 alin. (1) lit. a) și alin. (2) din Regulamentul General privind Protecția Datelor (RGPD).
Ca atare, Partidul Uniunea Salvați România a fost sancționat cu amendă în cuantum de 19.646 lei, echivalentul a 4.000 EURO.
Investigația a fost demarată ca urmare a transmiterii de către operator a unor notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor.
Încălcarea securității datelor s-a produs ca urmare a pierderii confidențialității și integrității datelor stocate într-un server al operatorului pe care era găzduită o aplicație asupra căreia a avut loc un atac cibernetic de tip phishing.
În cadrul investigației s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, cum ar fi criptarea/pseudonimizarea datelor cu caracter personal stocate în aplicația respectivă, ceea ce a condus la pierderea confidențialității datelor prelucrate prin accesarea neautorizată a datelor cu caracter personal cum sunt nume, prenume, cod numeric personal, e-mail, număr de telefon, date privind apartenența politică.
Totodată, operatorului i s-a aplicat și măsura corectivă de a asigura conformitatea cu RGPD a operațiunilor de prelucrare a datelor personale, prin implementarea unor măsuri tehnice și organizatorice adecvate, ca urmare a evaluării privind riscul pentru drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru referitoare la protecția datelor cu caracter personal.