Click Accept pentru a primi notificări cu cele mai importante știri!
Doar în urma unor sesizări se verifică dacă au fost respectate regulile. AUR și USR au fost amendate recent, cu 10.000, respectiv 4.000 de euro, pentru că au cules date personale fără să țină cont de acest regulament internațional. USR a comis o eroare incredibilă: deși e partidul cu cei mai mulți specialiști în domeniu IT, va plăti pentru un site cu eroare de securizare a datelor. Acestea sunt primele amenzi mai importante pe care le primesc formațiunile politice, deși, dacă s-ar fi făcut sesizări în timpul campaniilor electorale, ar fi curs sancțiunile, pentru toate partidele. Foarte mulți dintre cei care au strâns până acum semnături nu au respectat GDPR.
Partidele politice sunt expuse permanent riscului de amendă din partea Autorității Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), pentru listele de semnături strânse pe hârtie sau online. Cele mai mari probleme apar în legătură cu documentele care sunt cerute pentru depunerea dosarelor de candidatură, în fiecare campanie electorală. Norocul multora a fost că până acum nu au existat prea multe sesizări în urma cărora să se facă verificări și să se constate încălcarea GDPR. S-a întâmplat astfel pentru că toate formațiunile politice aveau aceeași problemă și ar fi deschis „Cutia Pandorei”. Dar anul viitor s-ar putea să fie multe surprize, după ce unii și-au rezolvat deja situația.
Cine va avea de câștigat cel mai mult
Firmele de consultanță și casele de avocatură se pregătesc să încaseze sume foarte mari pentru a ajuta partidele politice să respecte regulamentul GDPR. „Trebuie să existe pe fiecare listă o explicație referitoare la folosirea datelor cu caracter personal, astfel încât semnatarii să fie avertizați, atunci când își dau acordul. Dacă se fac sesizări, ajung direct în penal. Cei care folosesc datele personale cu alte scopuri vor fi amendați pentru încălcarea GDPR, iar pe site-uri este obligatoriu să existe aceste informații, când se colectează date. Nu există o certificare a tuturor celor care manipulează datele, ci este responsabilitatea unui DPO (Data Protection Operator - responsabilul cu manipularea datelor), la nivelul fiecărui operator. Și șeful fiecărui partid este responsabil. DPO poate fi un angajat al operatorului, dar se încheie, de obicei, un contract de prestări servicii cu o firmă de consultanță sau o casă de avocatură, care își asumă responsabilitatea”, explică un specialist din acest domeniu. Un astfel de contract se plătește cu cel puțin 3.000 de euro lunar. E un fel de taxă de protecție pentru a nu primi amenzi de la autoritatea de supraveghere.
Încep să curgă sesizările
AUR a primit amenda de 10.000 de euro (49.115 lei), „ca urmare a unor sesizări prin care se reclama faptul că operatorul colectează date cu caracter personal prin intermediul unui site, fără a realiza informarea persoanelor vizate și fără îndeplinirea condițiilor privind legalitatea prelucrării. În cadrul investigației efectuate s-a constatat faptul că date cu caracter personal (nume, prenume, adresă, serie și număr carte de identitate, cod numeric personal, telefon, semnătură) erau colectate prin completarea și semnarea formularului on-line de pe site-ul respectiv, prin transmiterea formularului descărcat/completat/semnat prin poștă, precum și prin completarea și semnarea formularului la centrele speciale organizate de Alianța pentru Unirea Românilor. Această situație a condus la prelucrarea datelor cu caracter personal a unui număr semnificativ de persoane vizate cu încălcarea principiilor de prelucrare a datelor cu caracter personal”, a anunțat ANSPDCP, într-un comunicat.
USR a primit o amendă de 19.646 de lei, echivalentul a 4.000 de euro, tot în urma unei sesizări soluționate de Autoritatea Națională de Supraveghere, în aceeași perioadă. „Investigația a fost demarată ca urmare a transmiterii de către operator a unor notificări de încălcare a securității datelor cu caracter personal în temeiul Regulamentului General privind Protecția Datelor. Încălcarea securității datelor s-a produs ca urmare a pierderii confidențialității și integrității datelor stocate într-un server al operatorului pe care era găzduită o aplicație asupra căreia a avut loc un atac cibernetic de tip phishing”, transmite autoritatea.
O pâine și pentru „cyber security”
Practic, partidul IT-iștilor a fost amendat pentru că „nu a implementat măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, cum ar fi criptarea/pseudonimizarea datelor cu caracter personal stocate în aplicația respectivă, ceea ce a condus la pierderea confidențialității datelor prelucrate prin accesarea neautorizată a datelor cu caracter personal cum sunt nume, prenume, cod numeric personal, e-mail, număr de telefon, date privind apartenența politică”, arată ANSPDCP, care a cerut introducerea de urgență a unor „măsuri tehnice și organizatorice adecvate”, pentru a nu mai avea riscuri privind drepturile și libertățile persoanelor, inclusiv a procedurilor de lucru legate de GDPR.
Această situație arată că pe lângă marii câștigători ai organizării alegerilor de anul viitor – firmele de consultanță și casele de avocatură – se pregătesc să protejeze site-urile partidelor și firmele de „cyber security” (securitate cibernetică), după exemplul care arată vulnerabilitatea la care s-a expus chiar un partid ca USR, cu toți IT-iștii pe care-i are.
Un contract cu o firmă de consultanță sau cu o casă de avocatură rezolvă problema GDPR pentru un „abonament” de circa 3.000 de euro pe lună, iar partidul stă liniștit, în toate cele patru campanii electorale care urmează. Un contract cu o firmă de „cyber security” e la fel de necesar, după cum arată pățania USR.
