AUR şi USR – sancţionate din cauza încălcării securităţii datelor cu caracter personal

Autoritatea Naţională de Supraveghere a Datelor cu Caracter Personal a sancţionat Alianţa pentru Unirea Românilor (AUR) şi Uniunea Salvaţi România (USR) cu amenzi în cuantum de 10.000 de euro, respectiv 4.000 de euro din cauza încălcării prevederilor Regulamentului General privind Protecţia Datelor (RGPD), potrivit Agerpres.

Potrivit unui comunicat al autorităţii, sancţiunea aplicată AUR survine unor sesizări prin care se reclama faptul că operatorul colectează date cu caracter personal prin intermediul unui site, fără a realiza informarea persoanelor vizate şi fără îndeplinirea condiţiilor privind legalitatea prelucrării.

“În cadrul investigaţiei efectuate s-a constatat faptul că date cu caracter personal (nume, prenume, adresă, serie şi număr carte de identitate, cod numeric personal, telefon, semnătură) erau colectate prin completarea şi semnarea formularului online de pe site-ul respectiv, prin transmiterea formularului descărcat/completat/semnat prin poştă, precum şi prin completarea şi semnarea formularului la centrele speciale organizate de Alianţa pentru Unirea Românilor. Această situaţie a condus la prelucrarea datelor cu caracter personal a unui număr semnificativ de persoane vizate cu încălcarea principiilor de prelucrare a datelor cu caracter personal prevăzute la art. 5 alin. (1) lit. c) (“reducerea la minimum a datelor”) şi alin. (2) din RGPD (“responsabilitate”)”, precizează sursa citată.

În cazul USR, încălcarea securităţii datelor s-a produs ca urmare a pierderii confidenţialităţii şi integrităţii datelor stocate într-un server al operatorului pe care era găzduită o aplicaţie asupra căreia a avut loc un atac cibernetic de tip phishing.

“În cadrul investigaţiei s-a constatat că operatorul nu a implementat măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, cum ar fi criptarea/pseudonimizarea datelor cu caracter personal stocate în aplicaţia respectivă, ceea ce a condus la pierderea confidenţialităţii datelor prelucrate prin accesarea neautorizată a datelor cu caracter personal cum sunt nume, prenume, cod numeric personal, e-mail, număr de telefon, date privind apartenenţa politică. Totodată, operatorului i s-a aplicat şi măsura corectivă de a asigura conformitatea cu RGPD a operaţiunilor de prelucrare a datelor personale, prin implementarea unor măsuri tehnice şi organizatorice adecvate, ca urmare a evaluării privind riscul pentru drepturile şi libertăţile persoanelor, inclusiv a procedurilor de lucru referitoare la protecţia datelor cu caracter personal”, mai precizează autoritatea.