Consultanta

AUR sanctionat pentru 2 incalcari grave ale GDPR

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în luna iunie 2025 o investigație asupra operatorului Partidul Alianța pentru Unirea Românilor (AUR), în urma căreia a constatat mai multe încălcări ale Regulamentului General privind Protecția Datelor (GDPR) – Regulamentul (UE) 2016/679.

Ce nereguli a descoperit Autoritatea?

Investigația a fost declanșată ca urmare a:

-transmiterii de către AUR a două notificări privind încălcarea securității datelor personale, conform art. 33 din GDPR;

-sesizărilor primite de Autoritate cu privire la modul de colectare și prelucrare a datelor personale prin platforme online.

1.Incidentul de ecuritate de pe platforma aur.mobi

Prima încălcare a vizat aplicația aur.mobi, gestionată de AUR. Din cauza unei erori de configurare, aplicația a permis accesul neautorizat la o gamă extinsă de date personale sensibile ale utilizatorilor – membri și susținători ai partidului – prin exploatarea unei vulnerabilități din codul sursă de către o terță parte.

Datele personale expuse au inclus:

-nume, prenume, CNP, adresa, telefon, e-mail;

-informații sensibile precum: sex, religie, profesie, experiență profesională, studii, experiență politică sau administrativă, limbi străine vorbite etc.

Autoritatea a constatat că AUR nu a implementat măsuri tehnice și organizatorice adecvate pentru protejarea datelor, conform art. 25 și art. 32 din GDPR, fapt ce a dus la divulgarea și accesarea neautorizată a datelor cu caracter personal.

2.Prelucrarea excesivă a datelor prin platformele semnezsivotez.ro și semnezsivotez.org

Cea de-a doua situație a vizat colectarea datelor personale prin intermediul platformelor online semnezsivotez.ro și semnezsivotez.org.

Potrivit sesizărilor redirecționate de Autoritatea Electorală Permanentă, AUR colecta date precum:

-nume, prenume, CNP, adresă, data nașterii, email, telefon și semnătură,
pentru un număr semnificativ de persoane vizate.

Scopurile declarate ale prelucrării erau informarea privind o campanie AUR și obținerea unor statistici. Totuși, investigația a arătat că datele colectate nu erau adecvate, relevante și limitate la strictul necesar, așa cum cere art. 5 și art. 6 din GDPR. Prelucrarea s-a realizat fără un temei legal valid.

În timpul investigației, AUR a dezactivat cele două platforme.

Amenzile aplicate de ANSPDCP

Pentru aceste încălcări, operatorul AUR a fost sancționat cu două amenzi distincte:

-10.000 euro (50.587 lei) pentru lipsa măsurilor de securitate privind aplicația aur.mobi;

-15.000 euro (75.880,50 lei) pentru prelucrarea nelegală și disproporționată a datelor colectate online.

Concluzie

Acest caz evidențiază importanța respectării principiilor GDPR, mai ales când vine vorba de protejarea datelor cu caracter personal ale cetățenilor. Orice organizație, inclusiv partidele politice, trebuie să se asigure că implementează măsuri de securitate adecvate și că prelucrează datele doar în limitele legii.