AUR, amendat cu 25.000 de euro pentru încălcarea normelor GDPR. Ce a făcut cu datele personale ale românilor?

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat AUR cu 25.000 de euro pentru nerespectarea normelor GDPR.

Este vorba de două amenzi, una de 10.000 de euro, alta de 15.000 de euro aplicate după două investigaţii declanşate în urma unor notificări cu privire la încălcarea securităţii datelor cu caracter personal. Una dintre investigaţii a arătat că în aplicaţia AUR erau vizibile date personale ale susţinătorilor, precum numele şi prenumele, numărul de telefon, adresa de e-mail, adresa de reşedinţă, codul numeric personal, data naşterii, naţionalitatea, cetăţenia, sexul, religia, profesia, ocupaţia, domeniul de activitate, experienţa în alte domenii, studiile.

Cea de a doua a relevat faptul că AUR a colectat date personale pe platformele www.semnezsivotez.org, respectiv www.semnezsivotez.ro iar acestea erau prelucrate de operator în scopul informării persoanelor vizate cu privire la o campanie AUR şi în scop statistic, precum şi că datele prelucrate nu sunt adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile declarate ale prelucrării

Redăm integral comunicatul

"Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat, în luna iunie 2025, o investigaţie la operatorul Partidului Alianţa pentru Unirea Românilor (AUR) şi a constatat încălcarea prevederilor:

a) art. 32 alin. (1) lit. b) şi d) şi alin. (2) din Regulamentul (UE) 2016/679, coroborat cu art. 25 alin. (1) şi (2) din acelaşi act normativ;

b) art. 5 alin. (1) lit. c) şi alin. (2), raportat la dispoziţiile art. 6 alin. (1) din Regulamentul (UE) 2016/679.

Pentru faptele săvârşite s-au aplicat operatorului următoarele sancţiuni:

a) amendă, în cuantum de 50.587,00 lei, echivalentul în lei al sumei de 10.000 euro

b) amendă, în cuantum de 75.880,50 lei, echivalentul în lei al sumei de 15.000 euro

Investigaţia a fost demarată ca urmare a transmiterii de către operatorul Partidului Alianţa pentru Unirea Românilor (AUR) a două notificări cu privire la încălcarea securităţii datelor cu caracter personal, potrivit dispoziţiilor art. 33 din Regulamentul (UE) 2016/679, precum şi ca urmare a unor sesizări primite de Autoritate.

a) Una dintre încălcările de securitate notificată a vizat aplicaţia aur.mobi utilizată şi gestionată de operator a cărei vulnerabilitate a fost exploatată de un terţ prin accesarea codului sursă a aplicaţiei.

În cadrul investigaţiei s-a constatat faptul că, urmare a unei greşeli de configurare, la momentul producerii incidentului puteau fi vizualizate în cadrul aplicaţiei aur.mobi următoarele categorii de date cu caracter personal ale utilizatorilor acesteia (susţinători/membri persoane fizice care au furnizat date cu caracter personal în aplicaţia operatorului): numele şi prenumele, numărul de telefon, adresa de e-mail, adresa de reşedinţă, codul numeric personal, data naşterii, naţionalitatea, cetăţenia, sexul, religia, profesia, ocupaţia, domeniul de activitate, experienţa în alte domenii, studiile (instituţie, specializare, dată început, dată sfârşit), experienţa politică (partid, funcţie, dată început, dată sfârşit), experienţa administrativă (instituţie, funcţie, dată început, dată sfârşit), limbile străine vorbite (limbă, nivel).

Prin urmare, s-a constatat că operatorul a încălcat prevederile art. 32 alin. (1) lit. b) şi d) şi alin. (2), coroborat cu art. 25 alin. (1) şi (2) din Regulamentul (UE) 679/2016, întrucât acesta nu a pus în aplicare măsuri tehnice şi organizatorice adecvate pentru a asigura că, în mod implicit, datele cu caracter personal nu pot fi accesate, fără intervenţia persoanei, de un număr nelimitat de persoane, incluzând capacitatea de a asigura confidenţialitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare, precum şi un proces pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării, respectiv nu a implementat, atât în momentul stabilirii mijloacelor de prelucrare, cât şi în cel al prelucrării în sine, astfel de măsuri tehnice şi organizatorice adecvate. Aceasta a condus la divulgarea neautorizată şi accesul neautorizat la datele cu caracter personal ale utilizatorilor aplicaţiei (susţinători/membrii ai partidului AUR), prin accesarea codului sursă a aplicaţiei aur.mobi de către persoane terţe, ca urmare a interogării unei interfeţe de programare vulnerabile.

b) Autoritatea Electorală Permanentă a redirecţionat Autorităţii Naţionale de Supraveghere două sesizări prin care era semnalată o posibilă încălcare a prevederilor Regulamentului (UE) 2016/679 de către operatorul AUR, prin colectarea de date cu caracter personal (nume, prenume, serie şi număr CI, adresa de domiciliu, data naşterii, email, număr de telefon, semnătură) prin platformele www.semnezsivotez.org, respectiv www.semnezsivotez.ro pentru un număr semnificativ de persoane vizate.

În cadrul investigaţiei s-a constatat faptul că datele cu caracter personal erau prelucrate de operator în scopul informării persoanelor vizate cu privire la o campanie AUR şi în scop statistic, precum şi că datele prelucrate nu sunt adecvate, relevante şi limitate la ceea ce este necesar în raport cu scopurile declarate ale prelucrării.

Ca atare, s-a constatat faptul că operatorul a încălcat prevederile art. 5 alin. (1) lit. c) şi alin. (2) din Regulamentul (UE) 2016/679 prin raportare la dispoziţiile art. 6 alin. (1) din Regulament, întrucât a prelucrat fără temei legal, prin intermediul site-urilor web semnezsivotez.ro şi semnezsivotez.org, date cu caracter personal care nu sunt adecvate, relevante şi limitate la ceea ce este necesar, în raport cu scopurile declarate ale prelucrării.

În timpul investigaţiei operatorul a dezactivat platformele informatice semnezsivotez.ro şi semnezsivotez.org".