Agencija za zaštitu osobnih podataka izrekla je dvije kazne u ukupnom iznosu od 370.000 eura, pri čemu je HEP-Toplinarstvo sankcionirano s 320.000 eura zbog pohranjivanja lozinki gotovo 16.000 korisnika u čitljivom obliku i nesuradnje, a informacijska tvrtka s 50.000 eura zbog neadekvatne zaštite koja je omogućila hakerski napad. Ovi ozbiljni sigurnosni propusti doveli su do rizika od neovlaštenog otkrivanja i zlouporabe osobnih podataka građana. Navedene kazne dio su pojačanog nadzora u 2025. godini, tijekom koje je Agencija do sada izrekla dvanaest kazni u ukupnoj vrijednosti od 900.500 eura. Na izravan upit ICTbusiness.info iz AZOP-a ističu kako neće objaviti ime ICT tvrtke do pravomoćnosti što znači do plaćanja ili okončanja postupka u slučaju žalbe na Upravnom sudu.
Agencija za zaštitu osobnih podataka (AZOP) izrekla je dvije nove upravne novčane kazne u ukupnom iznosu od 370.000 eura zbog ozbiljnih kršenja Opće uredbe o zaštiti podataka. Veći dio iznosa, čak 320.000 eura, odnosi se na HEP-Toplinarstvo, koje je kažnjeno zbog nepoduzimanja adekvatnih tehničkih i organizacijskih mjera zaštite. Utvrđeno je da je tvrtka pohranjivala lozinke gotovo 16.000 korisnika u čitljivom obliku te ih je kao takve slala korisnicima e-poštom prilikom zahtjeva za promjenom. Uz ovaj sigurnosni propust, HEP-Toplinarstvo je kažnjeno i zbog nesuradnje s Agencijom tijekom nadzornog postupka. Druga kazna, u iznosu od 50.000 eura, izrečena je neimenovanoj informacijsko-komunikacijskoj tvrtki. Ta je tvrtka sankcionirana jer zbog propusta u implementaciji pravovremenih tehničkih mjera nije spriječila hakerski napad koji je kompromitirao cijeli informacijski sustav. Napadač je zbog toga ostvario neometan pristup osobnim podacima korisnika na poslužiteljima. Propusti tvrtke uključivali su nedostatak osiguranja povjerljivosti, cjelovitosti i otpornosti sustava. Ove sankcije dio su pojačanih aktivnosti Agencije u 2025. godini. Do sada je izrečeno ukupno dvanaest upravnih novčanih kazni, čime je ukupan iznos dosegao 900.500 eura.
Agencija za zaštitu osobnih podataka izrekla je upravnu novčanu kaznu HEP-Toplinarstvu kao voditelju obrade u iznosu od 320.000 eura zbog kršenja odredbi Opće uredbe o zaštiti podataka, točnije zbog nepoduzimanja odgovarajućih tehničkih i organizacijskih mjera zaštite kod obrade osobnih podataka i zbog nesuradnje s Agencijom, pri čemu HEP-Toplinarstvo nije omogućilo pristup informacijama koje su potrebne za obavljanje zadaća Agencije.
Agencija je zaprimila prijavu ispitanika da se prilikom traženja izmjene zaboravljene lozinke na portalu „Moj račun“ HEP-Toplinarstva, elektroničkom poštom korisniku dostavlja privremena lozinka koja je zapravo posljednja lozinka koju je postavio sam korisnik. Tijekom nadzornog postupanja utvrđeno je da je prilikom izrade idejnog rješenja aplikacije „Moj račun“, uspostavljen način promjene zaboravljene lozinke tako da se korisniku na elektroničku poštu kao privremena lozinka dostavlja ista lozinka koja je upisana u bazi podataka aplikacije za tog korisnika (a koju je korisnik sam postavio) te da su sve lozinke korisnika portala „Moj račun“ (njih gotovo 16.000) pohranjene u bazi podataka voditelja obrade u čitljivom obliku.
S obzirom na navedeno, kako su lozinke korisnika pohranjene u bazi podataka voditelja obrade u čitljivom obliku, osobni podaci korisnika aplikacije „Moj račun“ izlažu se riziku neovlaštenog otkrivanja i zlouporabe, a što prema članku 32. stavku 2. Opće uredbe o zaštiti podataka predstavlja jedan od ključnih sigurnosnih rizika koje je voditelj obrade bio dužan prethodno procijeniti i suzbiti poduzimanjem odgovarajućih mjera sigurnosti osobnih podataka. No, voditelj obrade svjesno je odabrao rješenje koje nije sadržavalo osnovne mjere sigurnosti zaštite podataka, poput generiranja privremene lozinke ili korištenja metoda kriptiranja podataka, nije uzeo u obzir rizike za sigurnost osobnih podataka niti je proveo procjenu rizika obrade osobnih podataka korisnika.
Tijekom postupka, voditelj obrade nije pokazao odgovarajući stupanj suradnje kako bi se otklonilo kršenje i ublažili mogući štetni učinci. Također, voditelj obrade nije Agenciji dostavio dokaze o izmjeni funkcionalnosti aplikacije, a niti je nakon saznanja za sigurnosni propust poduzeo mjere kako bi se ublažili mogući štetni učinci kršenja članka 32. Opće uredbe o zaštiti podataka, poput primjerice obavješćivanja ispitanika.
U konačnici, voditelj obrade tijekom nadzornog postupanja nije omogućio pristup svim informacijama Agenciji koje su potrebne za obavljanje zadaća. Ovakvo postupanje predstavlja nesuradnju s Agencijom kao nadzornim tijelom, a što je protivno članku 31. Opće uredbe o zaštiti podataka.
Agencija je zaprimila Izvješće o povredi osobnih podataka (prema članku 33. Opće uredbe o zaštiti podataka) od strane voditelja obrade odnosno informacijsko komunikacijske tvrtke kako su hakerskim napadom izloženi osobni podaci korisnika tvrtke.
Nakon nadzornog postupanja utvrđeno je kako je voditelj obrade propustio pravovremeno implementirati odgovarajuće tehničke mjere sigurnosti obrade osobnih podataka u odnosu na postojeće i predvidive rizike, a koje su mogle spriječiti povredu ili svesti rizik na najmanju moguću mjeru. Konkretno, voditelj obrade nije zaštitio osobne podatke od uništenja, izmjene, zabranjenog odavanja i neovlaštenog pristupa, a što je za posljedicu imalo da se napadač, jednom kada je ostvario pristup u sustav, neometano mogao kretati cijelim informacijskim sustavom, čime je isti u cijelosti kompromitiran te je ostvario pristup osobnim podacima ispitanika na poslužiteljima. Po saznanju o povredi voditelj obrade odmah je pristupio rješavanju nastalog sigurnosnog problema te nakon što je utvrdio sve okolnosti, pokrenuo je korake za opravak cjelokupnog IT sustava.
U konkretnom slučaju voditelj obrade učinio je višestruke propuste prilikom dizajniranja sustava obrade, uključivo odgovarajućih korektivnih akcija u sustavu. Točnije, nepoduzimanjem odgovarajućih tehničkih mjera sigurnosti obrade osobnih podataka u odnosu na osiguranje trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava, procesa za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade, te uzimanja u obzir rizika koje predstavlja obrada, rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima od strane voditelja obrade, došlo je do povrede članka 32. stavka 1. točke b) i d) te stavka 2. Opće uredbe o zaštiti podataka.
Zbog navedenog kršenja Opće uredbe o zaštiti podataka voditelju obrade izrečena je kazna u iznosu od 50.000,00 eura. Inače, u 2025. godini Agencija je izrekla dvanaest upravnih novčanih kazni, čime je ukupan iznos izrečenih ovogodišnjih kazni dosegao 900.500,00 eura.
