Agencija za zaštitu osobnih podataka (AZOP) izrekla je HEP-Toplinarstvu novčanu kaznu od 320.000 eura jer je gotovo 16 000 lozinki korisnika portala „Moj račun” pohranjivalo – i po potrebi slalo – u potpuno čitljivom obliku.
Prekršaj je otkriven kada je jedan korisnik, pokušavajući promijeniti zaboravljenu zaporku, e-poštom primio svoju staru lozinku umjesto privremene. Nadzor AZOP-a pokazao je da sustav nije primjenjivao elementarnu zaštitu poput enkripcije niti generiranja jednokratnih lozinki, a tvrtka nije provela procjenu rizika. Agencija navodi da tijekom postupka HEP-Toplinarstvo nije pružilo sve tražene informacije ni obavijestilo korisnike o propustu.
Druga kazna – 50.000 eura – izrečena je informacijsko-komunikacijskoj tvrtki čiji su se poslužitelji našli na udaru hakera. Istragom je utvrđeno da obrambene mjere nisu pravodobno postavljene, pa je napadač nakon upada nesmetano pristupao podacima i kompromitirao osobne zapise.
Oba slučaja predstavljaju kršenje članka 32. Opće uredbe o zaštiti podataka (GDPR), koja obvezuje voditelje obrade na primjenu odgovarajućih tehničkih i organizacijskih sigurnosnih mjera. S današnjim odlukama AZOP je u 2025. godini ukupno izrekao 12 kazni teških 900.500 eura.