Persoana fizica, in calitate de operator, sanctionata contraventional pentru dezvaluire de date cu caracter personal

Investigatia a fost demarata ca urmare a primirii uneisesizariprin care s-areclamat faptul ca pe o retea de socializare, pe pagina personala a unei persoane fizice ce detinea functia de Secretar General in cadrul unei filiale de sector a unui partid politic, a fost publicata o lista cuprinzand 10 pozitii cu persoane semnatare/sustinatori pentru alegerea Consiliului General si a Primarului Municipiului Bucuresti, in cadrul careia datele cu caracter personal ale acestora sunt accesibile, fiind dezvaluite numele si prenumele, semnatura, cetatenia, data nasterii, adresa, seria si numarul actului de identitate, optiunea politica a persoanelor semnatare/sustinatorilor.

In cursul desfasurarii investigatieiAutoritatea Nationala de Supraveghere a constatat ca operatorul, contrar obligatiilor stabilite de art. 32 din RGPD,nu a implementat masuri tehnice si organizatorice adecvatein vederea asigurarii unui nivel de securitate corespunzator riscului prelucrarii pentru drepturile si libertatile persoanelor fizice, ceea ce a condus la divulgarea catre publicul larg si la accesul neautorizat la datele cu caracter personal ale unui numar de 10 persoane fizice vizate, sustinatori ai unui candidat la alegerile locale din septembrie 2020, desi potrivit art. 5 lit. f) din RGPD, avea obligatia de a respecta principiul ,,integritate si confidentialitate``.

Asadar,operatorul a fost sanctionat contraventionalpentru incalcarea dispozitiilor art. 32 RGPD referitoare la securitatea prelucrarilor.

Totodata,operatorul a fost sanctionat contraventionalsi pentru fapta prevazuta de art. 83 alin. (5) din Regulamentul (UE) 679/2016, raportat la art. 58 alin. (1) lit. a) si lit. e) si coroborat cu art. 8 din O.G. nr. 2/2001 intrucatnu a raspunssolicitarilor Autoritatii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal.

Autoritatea a aplicat operatorului simasura corectivade stergere a datelor dezvaluite prin postareape pagina personala de pe o retea de socializare a listei cu persoane semnatare/sustinatoare pentru alegerea Consiliului General si a Primarului Municipiului Bucuresti.

In acord cu cele de mai sus, considerentul (39) statueaza ca o ``(...) Datele cu caracter personal ar trebui prelucrate intr-un mod care sa asigure in mod adecvat securitatea si confidentialitatea acestora, inclusiv in scopul prevenirii accesului neautorizat la acestea sau utilizarea neautorizata a datelor cu caracter personal si a echipamentului utilizat pentru prelucrare .``

In acelasi timp, considerentul (83) prevede: ``In vederea mentinerii securitatii si a prevenirii prelucrarilor care incalca prezentul regulament, operatorul sau persoana imputernicita de operator ar trebui sa evalueze riscurile inerente prelucrarii si sa implementeze masuri pentru atenuarea acestor riscuri, cum ar fi criptarea. Masurile respective ar trebui sa asigure un nivel corespunzator de securitate, inclusiv confidentialitatea, luand in considerare stadiul actual al dezvoltarii si costurile implementarii in raport cu riscurile si cu natura datelor cu caracter personal a caror protectie trebuie asigurata. La evaluarea riscului pentru securitatea datelor cu caracter personal, ar trebui sa se acorde atentie riscurilor pe care le prezinta prelucrarea datelor, cum ar fi distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate in alt mod, in mod accidental sau ilegal, care pot duce in special la prejudicii fizice, materiale sau morale.``