Koliko je važna zaštita osobnih podataka pokazuje i odluka Agencije za zaštitu osobnih podataka(AZOP). Agencija je tvrtki HEP-Toplinarstvo izrekla kaznu od 320 tisuća eura zbog kršenja europske Uredbe o zaštiti podataka (GDPR).
Kako navode iz AZOP-a, tvrtka je kažnjena jer nisu poduzeli odgovarajuće tehničke i organizacijske mjere zaštite kod obrade osobnih podataka i nesuradnje s Agencijom, pri čemu HEP-Toplinarstvo nije omogućio pristup informacijama koje su tražene.
AZOP je dobila prijavu korisnika HEP-Toplinarstva koji se žalio da se prilikom traženja izmjene zaboravljene lozinke na portalu Moj račun HEP-Toplinarstva elektroničkom poštom korisniku dostavlja privremena lozinka koja je zapravo zadnja lozinka koju je postavio sam korisnik.
Tijekom nadzornog postupanja utvrđeno je da je prilikom izrade idejnog rješenja aplikacije Moj račun uspostavljen način promjene zaboravljene lozinke tako da se korisniku na elektroničku poštu kao privremena lozinka dostavlja ista lozinka koja je upisana u bazi podataka aplikacije za tog korisnika i koju je korisnik sam postavio.
Sve lozinke korisnika portala Moj račun, kojih je gotovo 16.000, pohranjene u bazi podataka voditelja obrade u čitljivom obliku, navode iz AZOP-a.
Iz Agencije ističu kako se osobni podaci korisnika aplikacije izlažu riziku neovlaštenog otkrivanja i zlouporabe, a to je prema GDPR-u jedan od ključnih sigurnosnih rizika koje je voditelj obrade bio dužan prethodno procijeniti i suzbiti poduzimanjem odgovarajućih mjera sigurnosti osobnih podataka.
Voditelj obrade svjesno je odabrao rješenje koje nije sadržavalo osnovne mjere sigurnosti zaštite podataka, poput generiranja privremene lozinke ili korištenja metoda kriptiranja podataka, nije uzeo u obzir rizike za sigurnost osobnih podataka niti je proveo procjenu rizika obrade osobnih podataka korisnika.
Tijekom postupka voditelj obrade nije pokazao odgovarajući stupanj suradnje kako bi se otklonilo kršenje i ublažili mogući štetni učinci.
Također, HEP-Toplinarstvo nije Agenciji dostavio dokaze o izmjeni funkcionalnosti aplikacije, a niti je nakon saznanja za sigurnosni propust poduzeo mjere kako bi se ublažili mogući štetni učinci kršenja Opće uredbe o zaštiti podataka, poput primjerice obavješćivanja ispitanika, kažu iz AZOP-a.
Samo u ovoj godini Agencija je izrekla 12 upravnih novčanih kazni, čime je ukupan iznos izrečenih kazni dosegao 900.500,00 eura.
