Lozinke korisnika portala ‘Moj račun‘ bile su pohranjene u bazi podataka u nešifriranom obliku. Tvrtka nije surađivala s regulatorom niti je prijavila sigurnosni propust
Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu HEP-Toplinarstvu kao voditelju obrade u iznosu od 320.000 eura zbog kršenja odredbi Opće uredbe o zaštiti podataka, točnije zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera zaštite kod obrade osobnih podataka i zbog nesuradnje s Agencijom, pri čemu HEP-Toplinarstvo nije omogućilo pristup informacijama koje su potrebne za obavljanje zadaća Agencije, objavljeno je danas iz Agencije.
Kako su danas priopćili, Agencija je zaprimila prijavu ispitanika da se prilikom traženja izmjene zaboravljene lozinke na portalu „Moj račun“ HEP-Toplinarstva, elektroničkom poštom korisniku dostavlja privremena lozinka koja je zapravo posljednja lozinka koju je postavio sam korisnik.
Tijekom nadzornog postupanja utvrđeno je da je prilikom izrade idejnog rješenja aplikacije „Moj račun“, uspostavljen način promjene zaboravljene lozinke tako da se korisniku na elektroničku poštu kao privremena lozinka dostavlja ista lozinka koja je upisana u bazi podataka aplikacije za tog korisnika (a koju je korisnik sam postavio) te da su sve lozinke korisnika portala „Moj račun“ (njih gotovo 16.000) pohranjene u bazi podataka voditelja obrade u čitljivom obliku.
S obzirom na navedeno, kako su lozinke korisnika pohranjene u bazi podataka voditelja obrade u čitljivom obliku, osobni podaci korisnika aplikacije „Moj račun“ izlažu se riziku neovlaštenog otkrivanja i zlouporabe, a što prema članku 32. stavku 2. Opće uredbe o zaštiti podataka predstavlja jedan od ključnih sigurnosnih rizika koje je voditelj obrade bio dužan prethodno procijeniti i suzbiti poduzimanjem odgovarajućih mjera sigurnosti osobnih podataka.
No, voditelj obrade svjesno je odabrao rješenje koje nije sadržavalo osnovne mjere sigurnosti zaštite podataka, poput generiranja privremene lozinke ili korištenja metoda kriptiranja podataka, nije uzeo u obzir rizike za sigurnost osobnih podataka niti je proveo procjenu rizika obrade osobnih podataka korisnika.
Tijekom postupka, voditelj obrade nije pokazao odgovarajući stupanj suradnje kako bi se otklonilo kršenje i ublažili mogući štetni učinci. Također, voditelj obrade nije Agenciji dostavio dokaze o izmjeni funkcionalnosti aplikacije, a niti je nakon saznanja za sigurnosni propust poduzeo mjere kako bi se ublažili mogući štetni učinci kršenja članka 32. Opće uredbe o zaštiti podataka, poput primjerice obavješćivanja ispitanika.
U konačnici, voditelj obrade tijekom nadzornog postupanja nije omogućio pristup svim informacijama Agenciji koje su potrebne za obavljanje zadaća. Ovakvo postupanje predstavlja nesuradnju s Agencijom kao nadzornim tijelom, a što je protivno članku 31. Opće uredbe o zaštiti podataka, zaključuje se u priopćenju. (L.G., jutarnji.hr)
