AUR, sancționat cu 25.000 euro pentru încălcarea gravă a Regulamentului GDPR - Date personale ale susținătorilor, expuse online
AUR, sancționat cu 25.000 euro pentru încălcarea gravă a Regulamentului GDPR - Date personale ale susținătorilor,

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a anunțat finalizarea unei investigații ample privind prelucrarea datelor de către Partidul Alianța pentru Unirea Românilor (AUR), care a dus la aplicarea unor sancțiuni contravenționale în valoare totală de 126.467,50 lei, echivalentul a 25.000 de euro.
Investigația, desfășurată în luna iunie 2025, a vizat două incidente majore de securitate și prelucrare neconformă a datelor cu caracter personal, descoperite în urma unor notificări transmise chiar de către AUR, conform art. 33 din Regulamentul (UE) 2016/679 (GDPR), dar și în urma unor sesizări primite de Autoritate.
I. Scurgere masivă de date prin aplicația aur.mobi
Primul incident a vizat aplicația mobilă aur.mobi, dezvoltată și gestionată de AUR, ale cărei vulnerabilități au fost exploatate de terți prin accesarea codului sursă. Investigația a constatat că, în urma unei configurări eronate, orice persoană putea accesa informații sensibile despre utilizatori (susținători sau membri ai partidului).
Datele personale expuse au inclus:
-
Nume, prenume, CNP, sex, cetățenie, religie
-
Date de contact: telefon, e-mail, adresă
-
Informații profesionale și educaționale
-
Experiență politică și administrativă
-
Limbi vorbite, ocupație, domeniul de activitate
Conform ANSPDCP, AUR nu a implementat măsuri tehnice și organizatorice corespunzătoare pentru a garanta securitatea și confidențialitatea datelor prelucrate, ceea ce a dus la încălcarea următoarelor prevederi din GDPR:
-
Art. 32 alin. (1) lit. b) și d) și alin. (2) – referitor la securitatea prelucrării
-
Art. 25 alin. (1) și (2) – referitor la protecția datelor prin design și în mod implicit
Pentru acest incident, AUR a fost sancționat cu o amendă în cuantum de 50.587 lei (10.000 euro).
II. Colectare excesivă de date prin platformele „semnezsivotez”
Al doilea caz investigat a fost semnalat de Autoritatea Electorală Permanentă, care a transmis către ANSPDCP două sesizări privind utilizarea platformelor online www.semnezsivotez.ro și www.semnezsivotez.org de către AUR. Pe aceste platforme, formațiunea colecta datele personale ale unor persoane care susțineau campanii inițiate de partid.
Datele colectate includeau:
-
Nume, prenume, CNP, adresă completă, e-mail, telefon
-
Semnătură olografă, data nașterii, seria și numărul cărții de identitate
Investigația a arătat că:
-
Scopurile declarate (informare și analiză statistică) nu justificau colectarea acestor date în volum atât de mare;
-
Prelucrarea era disproporționată, iar temeiul legal era inexistent sau neclar.
Ca urmare, s-a constatat încălcarea prevederilor:
-
Art. 5 alin. (1) lit. c) și alin. (2) – principiul minimizării datelor și responsabilitatea operatorului
-
Art. 6 alin. (1) – legalitatea prelucrării
Pentru această abatere, AUR a fost sancționat cu o amendă de 75.880,50 lei (15.000 euro). Platformele semnezsivotez.ro și semnezsivotez.org au fost între timp dezactivate de operator în timpul desfășurării investigației.
Citește și
Urmareste-ne pe Grupul de Whatsapp