Zbog curenja ličnih podataka korisnika: Kompanija u Hrvatskoj kažnjena sa 320 hiljada evra
22.07.2025. | 13:49Agencija za zaštitu podataka (AZOP) izrekla je kaznu od 320.000 evra kompaniji HEP-Toplinarstvo zbog toga što su lozinke korisnika portala „Moj račun“ bile pohranjene u čitljivom obliku, čime su korisnici bili izloženi ozbiljnom riziku neovlašćenog pristupa i moguće zloupotrebe podataka.
Nadzor je pokrenut nakon prijave korisnika koji je, prilikom pokušaja promjene zaboravljene lozinke, putem e-pošte dobio svoju staru lozinku, umjesto nove privremene šifre, navodi se u saopštenju AZOP-a.
„Svesno odabrano rješenje bez bezbjednosnih mehanizama“
Daljom analizom utvrđeno je da je gotovo 16.000 lozinki bilo pohranjeno bez ikakve enkripcije, što predstavlja ozbiljno kršenje Opšte uredbe o zaštiti podataka (GDPR).
Agencija je ocijenila da je HEP-Toplinarstvo svesno koristilo rješenje koje nije uključivalo osnovne bezbjednosne mehanizme, poput generisanja privremenih lozinki ili kriptovanja podataka. Takođe, nije sprovedena procijena rizika vezana za bezbjednost ličnih podataka. Tokom nadzora, kompanija nije pokazala odgovarajući nivo saradnje sa Agencijom, niti je omogućila pristup svim traženim informacijama, a korisnici nisu bili obaviješteni o bezbjednosnom propustu, piše Index.hr.
Kazna i za firmu pogođenu hakerskim napadom
Druga kazna, u iznosu od 50.000 evra, izrečena je jednoj informaciono-komunikacionoj firmi, nakon što su lični podaci korisnika bili izloženi hakerskom napadu. Istragom je utvrđeno da firma nije blagovremeno primjenila tehničke mjere zaštite, koje bi spriječile ili ublažile posljedice napada. Napadač je, nakon što je ušao u sistem, nesmetano pristupao serverima i kompromitovao lične podatke korisnika.
Obe kazne odnose se na kršenje člana 32. Opšte uredbe o zaštiti podataka (GDPR), koji se tiče bezbjednosti obrade ličnih podataka.
Agencija je saopštila da je u 2025. godini do sada izrekla ukupno 12 kazni, u ukupnom iznosu od 900.500 evra.
