25.000 EUR amendă pentru un partid politic

În luna iunie 2025, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a aplicat o sancțiune semnificativă în valoare totală de 25.000 EUR unui partid politic, pentru încălcări grave ale Regulamentului General privind Protecția Datelor (GDPR). Cazul aduce în prim-plan riscurile reale la care se expun organizațiile care nu asigură protecția adecvată a datelor personale ale cetățenilor.

Contextul investigației

Investigația a fost demarată în urma notificării unor incidente de securitate și a mai multor sesizări transmise de persoane vizate. Cele două situații analizate de autoritate au implicat:

1. Aplicația mobilă nesecurizată aur.mobi

Din cauza unei erori de configurare, datele personale ale utilizatorilor (membri și susținători ai partidului) au fost accesibile publicului larg, fără autentificare. Printre datele expuse se regăsesc:

  • Nume și prenume
  • Serie și număr CI
  • Adresă de domiciliu
  • Email, număr de telefon
  • Data nașterii
  • Semnătură
  • Religia, etnia, ocupația, educația, funcții politice, limbi străine, experiență profesională

2. Colectarea ilegală de date prin semnezsvotez.ro și semnezsvotez.org

Aceste site-uri au fost utilizate pentru a colecta date cu caracter personal fără un temei legal valid, în scopuri de campanie politică. Nu au fost respectate cerințele privind informarea persoanelor vizate, consimțământul valid și limitarea datelor la ceea ce este necesar.

Articole GDPR încălcate

Autoritatea a reținut următoarele încălcări:

  • Art. 32 GDPR – Lipsa măsurilor tehnice și organizatorice adecvate
  • Art. 25 GDPR – Nerespectarea principiului „privacy by design & by default”
  • Art. 5 și Art. 6 GDPR – Prelucrare excesivă și fără temei legal

Operatorul a fost sancționat cu:

  • 10.000 EUR ( 50.587 lei )  pentru expunerea de date prin aplicația mobilă;
  • 15.000 EUR ( 75.880,50 lei ) pentru prelucrarea ilegală prin platformele web.

Încrederea alegătorilor nu este negociabilă

Acest caz evidențiază un aspect esențial pentru orice partid politic: încrederea alegătorilor. Cetățenii care furnizează voluntar datele lor personale se așteaptă ca acestea să fie păstrate în siguranță, folosite doar în scopuri legitime și protejate împotriva accesului neautorizat.

Nerespectarea acestor așteptări nu înseamnă doar sancțiuni legale, ci și pierderea încrederii publicului și a legitimității în spațiul democratic.

Lecții pentru toate organizațiile

  • Testează aplicațiile și website-urile înainte de lansare
  • Colectează doar datele strict necesare
  • Asigură un temei legal clar pentru orice prelucrare
  • Informează transparent persoanele vizate
  • Instruiți echipele implicate în colectarea/prelucrarea datelor

Ce poți face pentru a preveni astfel de situații?

La AADATABOX oferim suport specializat pentru:

  • Audituri GDPR și DPIA
  • Evaluări ale aplicațiilor mobile și website-urilor
  • Consultanță privind consimțământul, politica de confidențialitate și măsurile de securitate
  • Instruirea angajaților și comunicare eficientă în caz de breșă

Contactează-ne:

Email: contact@aadatabox.ro
Telefon: 0744.366.663

Protecția datelor nu este un lux. Este o responsabilitate.

Elveția si protecția datelor
Elveția pune în aplicare o nouă legislație pentru a proteja mai bine datele cetățenilor săi – Noua lege federală elvețiană privind protecția datelor („revFADP”), înlocuind vechea lege federală privind protecția datelor din 1992.
RevFADP îmbunătățește prelucrarea datelor cu caracter personal și acordă cetățenilor elvețieni noi drepturi în concordanță cu alte legi cuprinzătoare privind protecția datelor, cum ar fi Regulamentul general privind protecția datelor (GPDR) și GDPR din Regatul Unit.

Read More

„Instruirea efectivă” – un nou concept după recenta soluție a instanțelor clujene în cauza Banca Transilvania vs ANSPDCP

S-a discutat mult despre amenda de 100.000 euro aplicată de Autoritatea Națională de Supraveghere a Datelor cu Caracter Personal (ANSPDCP) în urmă cu aproape doi ani pentru a sancționa diseminarea unor date personale aparținând unui client și unor angajați ai Băncii Transilvania în spațiul public. Nu ne propunem să reluăm istoria acelor fapte și nici nu ne propunem să o analizăm, neavând la dispoziție detaliile concrete ale cazului.

Read More

Germania: CEO-ul va fi tras la răspundere personală pentru încălcările confidențialității datelor

Într-un caz recent din Germania, o instanță a decis că un CEO era personal răspunzător pentru o încălcare a confidențialității datelor după ce a angajat un detectiv pentru a investiga posibilele acte criminale ale reclamantului. Având în vedere riscurile potențiale, acest caz ridică o serie de probleme pe care companiile și consiliile lor de administrație trebuie să le ia în considerare. Acesta este unul dintre numeroasele cazuri recente din Europa în care instanțele s-au ocupat de întrebarea cu privire la ceea ce este necesar pentru ca daunele să fie acordate în conformitate cu articolul 82 din Regulamentul general al UE privind protecția datelor (GDPR). Read More