Sanctiune aplicata unei persoane fizice cu functie importanta intr-un partid politic

O noua luna, o noua sanctiune GDPR.

Accesand site-ul Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) pentru a vedea ce noutati avem, am descoperit ca a fost aplicata o noua sanctiune, lucru care nu constituie deloc o noutate. Insa, ce a fost iesit din normalul situatiei, a fost faptul ca cel vizat de investigatia respectiva este o persoana fizica, lucru destul de rar, dar si faptul ca persoana in cauza este una care detine o functie publica importanta intr-un partid politic de pe la noi.

Comunicatul ANSPDCP este urmatorul:

” Autoritatea Nationala de Supraveghere a finalizat in data de 16.02.2021 o investigatie la o persoana fizica, ce detinea, in acelasi timp, functia de Secretar General în cadrul unei filiale de sector din Municipiul Bucuresti a unui partid politic si a constatat încalcarea dispozitiilor art. 32 alin. (1) si (2) si a prevederilor art. 58 alin. (1) lit. a) si e) din Regulamentul General privind Protectia Datelor.

Persoana fizica, in calitate de operator, a fost sanctionată contraventional cu amenda in cuantum total de 2.437,35 lei (echivalentul în lei a 500 EURO).

Investigatia a fost demarata ca urmare a primirii unei sesizari prin care s-a reclamat faptul ca pe o rețea de socializare, pe pagina personala a unei persoane fizice ce detinea functia de Secretar General in cadrul unei filiale de sector a unui partid politic, a fost publicata o lista cuprinzand 10 pozitii cu persoane semnatare/sustinatori pentru alegerea Consiliului General si a Primarului Municipiului Bucuresti, in cadrul careia datele cu caracter personal ale acestora sunt accesibile, fiind dezvaluite numele si prenumele, semnatura, cetatenia, data nasterii, adresa, seria si numarul actului de identitate, optiunea politica a persoanelor semnatare/sustinatorilor.

In cursul desfasurarii investigatiei Autoritatea Nationala de Supraveghere a constatat ca operatorul, contrar obligatiilor stabilite de art. 32 din RGPD, nu a implementat masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, ceea ce a condus la divulgarea catre publicul larg si la accesul neautorizat la datele cu caracter personal ale unui numar de 10 persoane fizice vizate, sustinatori ai unui candidat la alegerile locale din septembrie 2020, desi potrivit art. 5 lit. f) din RGPD, avea obligatia de a respecta principiul ,,integritate si confidentialitate”.

Asadar, operatorul a fost sanctionat contraventional pentru incalcarea dispozitiilor art. 32 RGPD referitoare la securitatea prelucrarilor.

Totodata, operatorul a fost sanctionat contraventional si pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001 intrucat nu a raspuns solicitarilor Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.

Autoritatea a aplicat operatorului si masura corectiva de stergere a datelor dezvaluite prin postarea pe pagina personala de pe o retea de socializare a listei cu persoane semnatare/sustinatoare pentru alegerea Consiliului General si a Primarului Municipiului Bucuresti.

In acord cu cele de mai sus, considerentul (39) statueaza ca ”(…) Datele cu caracter personal ar trebui prelucrate intr-un mod care sa asigure in mod adecvat securitatea si confidentialitatea acestora, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal si a echipamentului utilizat pentru prelucrare.”

In acelasi timp, considerentul (83) prevede: ”In vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa evalueze riscurile inerente prelucrarii si sa implementeze masuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Masurile respective ar trebui sa asigure un nivel corespunzator de securitate, inclusiv confidentialitatea, luand in considerare stadiul actual al dezvoltarii si costurile implementarii in raport cu riscurile si cu natura datelor cu caracter personal a caror protectie trebuie asigurata. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui sa se acorde atentie riscurilor pe care le prezinta prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod, in mod accidental sau ilegal, care pot duce in special la prejudicii fizice, materiale sau morale.”

Asa cum am mai explicat, operator de date cu caracter personal poate sa fie si o persoana fizica, atat timp cat prelucreaza date in diverse scopuri, exceptand situatia in care o face in scop domestic.

In cazul de fata, persoana sanctionata a publicat o lista ce contine, printre altele, optiunea politica a unui grup de persoane, aceasta facand parte din categoria datelor speciale care au un regim special si foarte riguros de prelucrare ce include masuri stricte de siguranta. In niciun caz nu este indicata postarea acestora pe o retea de socializarea, la dispozitia oricui doreste sa le acceseze, fara a se lua vreo masura pentru a proteja identitatea persoanelor respective.

Sursa articol: www.dataprotection.ro

Multumim,

Echipa MyBiz GDPR