AZOP izrekao kaznu HEP-Toplinarstvu od 320 tisuća eura zbog kršenja GDPR-a

Agencija za zaštitu osobnih podataka (AZOP) je tvrtki HEP-Toplinarstvo izrekla kaznu u iznosu od 320 tisuća eura zbog kršenja europske odredbe o zaštiti podataka (GDPR), odnosno zato što ta tvrtka nije poduzela odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka i nije surađivala s AZOP-om ne omogućivši pristup traženim informacijama.

AZOP je reagirao na prijavu da se prilikom traženja izmjene zaboravljene lozinke na portalu Moj račun HEP-Toplinarstva elektroničkom poštom korisniku dostavlja privremena lozinka koja je zapravo zadnja lozinka koju je postavio sam korisnik.

“Tijekom nadzornog postupanja utvrđeno je da je prilikom izrade idejnog rješenja aplikacije Moj račun uspostavljen način promjene zaboravljene lozinke tako da se korisniku na elektroničku poštu kao privremena lozinka dostavlja ista lozinka koja je upisana u bazi podataka aplikacije za tog korisnika i koju je korisnik sam postavio te da su sve lozinke korisnika portala Moj račun, kojih je gotovo 16.000, pohranjene u bazi podataka voditelja obrade u čitljivom obliku”, obrazlaže AZOP.

Time se osobni podaci korisnika aplikacije izlažu riziku neovlaštenog otkrivanja i zlouporabe, a to je prema GDPR-u jedan od ključnih sigurnosnih rizika koje je voditelj obrade bio dužan prethodno procijeniti i suzbiti poduzimanjem odgovarajućih mjera sigurnosti osobnih podataka.

“No, voditelj obrade svjesno je odabrao rješenje koje nije sadržavalo osnovne mjere sigurnosti zaštite podataka, poput generiranja privremene lozinke ili korištenja metoda kriptiranja podataka, nije uzeo u obzir rizike za sigurnost osobnih podataka niti je proveo procjenu rizika obrade osobnih podataka korisnika. Tijekom postupka voditelj obrade nije pokazao odgovarajući stupanj suradnje kako bi se otklonilo kršenje i ublažili mogući štetni učinci. Također, voditelj obrade nije agenciji dostavio dokaze o izmjeni funkcionalnosti aplikacije, a niti je nakon saznanja za sigurnosni propust poduzeo mjere kako bi se ublažili mogući štetni učinci kršenja članka 32. Opće uredbe o zaštiti podataka, poput primjerice obavješćivanja ispitanika”, istaknuto je nadalje u objavi AZOP-a.

AZOP je izrekao i kaznu od 50 tisuća eura neimenovanoj informacijsko-komunikacijskoj tvrtki nakon njezine prijave da su u hakerskom napadu izloženi osobni podaci korisnika tvrtke.

“Nakon nadzornog postupanja utvrđeno je kako je voditelj obrade propustio pravovremeno implementirati odgovarajuće tehničke mjere sigurnosti obrade osobnih podataka u odnosu na postojeće i predvidive rizike, a koje su mogle spriječiti povredu ili svesti rizik na najmanju moguću mjeru. Konkretno, voditelj obrade nije zaštitio osobne podatke od uništenja, izmjene, zabranjenog odavanja i neovlaštenog pristupa što je za posljedicu imalo da se napadač, jednom kada je ostvario pristup u sustav, neometano mogao kretati cijelim informacijskim sustavom čime je isti u cijelosti kompromitiran te je ostvaren pristup osobnim podacima ispitanika na poslužiteljima. Po saznanju o povredi voditelj obrade odmah je pristupio rješavanju nastalog sigurnosnog problema te je nakon što je utvrdio sve okolnosti pokrenuo korake za opravak cjelokupnog IT sustava”, navode iz AZOP-a.

Ipak, zbog višestrukih propusta prilikom dizajniranja sustava obrade i nepoduzimanja odgovarajućih tehničkih mjera sigunosti obrade osobnih podataka izrečena je kazna od 50 tisuća eura.

Tako je u ovoj godini dosad AZOP izrekao 12 upravnih novčanih kazni u ukupnom iznosu od 900,5 tisuća eura.