Agencija za zaštitu osobnih podataka (AZOP) izrekla je HEP-Toplinarstvu kaznu od 320.000 eura zbog toga što su lozinke korisnika portala „Moj račun“ bile pohranjene u čitljivom obliku, čime su korisnici izloženi ozbiljnom riziku neovlaštenog pristupa i moguće zloporabe.
Nadzor je pokrenut nakon prijave korisnika koji je, prilikom pokušaja izmjene zaboravljene lozinke, putem e-pošte zaprimio svoju posljednju postavljenu lozinku, umjesto nove privremene šifre, navodi se u priopćenju AZOP-a.
Daljnjom analizom utvrđeno je da su sve lozinke – njih gotovo 16.000 – bile pohranjene bez ikakve enkripcije, što predstavlja ozbiljno kršenje odredbi Opće uredbe o zaštiti podataka (GDPR).
Agencija je ocijenila da je HEP-Toplinarstvo svjesno odabralo rješenje koje nije sadržavalo osnovne sigurnosne mehanizme, poput generiranja privremenih lozinki ili kriptiranja podataka, niti je provelo procjenu rizika u vezi sa sigurnošću osobnih podataka. Uz to, tijekom nadzora nije pokazalo potrebnu razinu suradnje s Agencijom, niti je omogućilo pristup svim informacijama, a korisnici nisu bili obaviješteni o sigurnosnom propustu.
Druga kazna, u iznosu od 50.000 eura, izrečena je informacijsko-komunikacijskoj tvrtki nakon što su osobni podaci korisnika bili izloženi hakerskom napadu. Istragom je utvrđeno da tvrtka nije pravodobno implementirala tehničke mjere zaštite koje bi spriječile ili ublažile štetu nastalu napadom. Napadač je, jednom kada je ušao u sustav, neometano pristupao poslužiteljima i kompromitirao osobne podatke.
Obje kazne odnose se na kršenja članka 32. GDPR-a, koji se odnosi na sigurnost obrade osobnih podataka. Agencija navodi da je do sada u 2025. godini izrekla ukupno 12 kazni u ukupnom iznosu od 900.500 eura.
Komentari
1