Zbog kršenja Opće uredbe o zaštiti podataka HEP-Toplinarstvo, državna kompanija iz sastava HEP-a koja se bavi proizvodnjom, distribucijom i opskrbom toplinskom energijom, platit će kaznu od 320 tisuća eura.
Kaznu im je odrezala Agencija za zaštitu osobnih podataka (AZOP) jer su svjesno neodgovornim postupanjem ugrozili osobne podatke gotovo 16 tisuća korisnika aplikacije Moj račun. Usto, u HEP-Toplinarstvu, na čijem je čelu Tomislav Brnadić, pokazali su prilično nesuradljivost tijekom nadzora AZOP-a, ali i nezainteresiranost da uklone nepravilnosti na koje su bili upozoreni, izvijestili su iz AZOP-a.
Tko će odgovarati?
Agencija je, nakon prijave, otkrila da su sve lozinke korisnika portala Moj račun, kojih je gotovo 16 tisuća, pohranjene u bazi podataka voditelja obrade u čitljivom obliku, odnosno da nisu kriptirane, čime su osobni podaci onih koji koriste aplikaciju HEP-Toplinarstva koja im omogućuje, između ostaloga, pregled i preuzimanje računa za toplinsku energiju, izloženi riziku neovlaštenog otkrivanja i zloporabe.
“Tijekom nadzornog postupanja utvrđeno je da je pri izradi idejnog rješenja aplikacije Moj račun uspostavljen način promjene zaboravljene lozinke tako da se korisniku na elektroničku poštu kao privremena lozinka dostavlja ista lozinka koja je upisana u bazi podataka aplikacije za tog korisnika (a koju je korisnik sam postavio) te da su sve lozinke korisnika portala Moj račun pohranjene u bazi podataka voditelja obrade u čitljivom obliku”, objašnjavaju iz AZOP-a u priopćenju za medije.
Da bi stvar bila gora, voditelj obrade je svjesno odabrao rješenje koje nije sadržavalo osnovne mjere sigurnosti zaštite podataka te nije uzeo u obzir rizike za sigurnost osobnih podataka, upozoravaju iz AZOP-a.
Napominju i da državna kompanije nije pokazala odgovarajući stupanj suradnje kako bi otklonili kršenje ili ublažili moguće štete te tijekom nadzora nisu omogućili pristup svim informacijama koje su Agenciji potrebne za obavljanje zadaća.
Ovakva nonšalantnost prema osobnim podacima građana, čiju zaštitu jamči Ustav, državnu će kompaniju stajati više od 300 tisuća eura. Hoće li zbog toga netko odgovarati, pitali smo HEP. U njihovu odgovoru o konkretnoj odgovornosti nema niti riječi. Kažu da će postupati u skladu s rješenjem AZOP-a.
“U konkretnoj situaciji došlo je do propusta nastalog zbog informatičke pogreške. Odmah nakon prijave pogreška je ispravljena te su poduzete sve odgovarajuće mjere s ciljem sprječavanja ponavljanja sličnih situacija”, odgovaraju iz HEP-a.
Kažu i da kontinuirano poduzimaju sve potrebne mjere usklađenja sa zakonodavstvom iz područja zaštite osobnih podataka kako bi postojeći interni procesi i zaštitni mehanizmi bili na najvišem nivou. Doduše, takav se dojam ne stječe iz priopćenja koje je stiglo iz AZOP-a. Da na zaštiti osobnih podataka, kao i svijesti o važnosti njihove zaštite, moramo raditi, govori činjenica da je Agencija ove godine izrekla već 12 upravnih novčanih kazni u iznosu od 900,5 tisuća eura.
Više incidenata
Osim HEP-Toplinarstva, s 50 tisuća eura kažnjena je i informacijsko-komunikacijska tvrtka (ne navodi se koja) jer, također, nije dobro zaštitila osobne podatke pa je pri hakerskom napadu napadač ostvario pristup osobnim podacima građana čijim je podacima dotična tvrtka raspolagala.
Hrvati su do sada svjedočili mnogim incidentima s neovlaštenim “curenjem” podataka, a posebno je zabrinjavajuće ono koje se odnosi na iznošenje podataka više od milijun fizičkih osoba vlasnika vozila, za što je Agencija kaznila Hrvatski ured za osiguranje, i to s daleko manjim iznosom (101 tisuća eura) od onoga koji će naplatiti HEP-Toplinarstvu.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu