AGENCIJA za zaštitu osobnih podataka (AZOP) izrekla je upravnu novčanu kaznu od 175.000 eura jednoj sportskoj kladionici zbog grubog kršenja pravila o zaštiti osobnih podataka korisnika. Istražujući prijavu građana, AZOP je otkrio niz propusta, uključujući činjenicu da su pojedini zaposlenici imali lozinke sastavljene od svega tri znaka.

Preslike osobnih iskaznica slali mailom, lozinke nisu štitile sustav

Kladionica je od korisnika tražila da za verifikaciju računa šalju presliku osobne iskaznice putem običnog e-maila, bez ikakvog sigurnog sustava za prijenos osjetljivih podataka. To je, prema AZOP-u, predstavljalo visok rizik za prava i slobode korisnika jer dokumenti nisu bili adekvatno zaštićeni od mogućeg curenja.

Daljnjom istragom utvrđeno je da su zaposlenici kladionice koristili izrazito slabe lozinke, koje su imale tek tri znaka, a s tih računala mogli su pristupati e-mail adresama koje su sadržavale osobne podatke tisuća korisnika, uključujući i preslike osobnih iskaznica. Dodatno zabrinjava što su se zaposlenici na administracijski sustav za upravljanje klađenjem spajali nesigurnim HTTP protokolom.

Kako navode iz AZOP-a, osnovna razlika između HTTP-a i HTTPS-a jest u načinu na koji se podaci prenose. Dok HTTP šalje podatke kao običan tekst, bez ikakve zaštite, HTTPS ih šalje enkriptirane, što ih čini sigurnim i teško dostupnim neovlaštenim osobama

Bez sigurnosnih kopija, bez brisanja podataka

Inspektori su ustanovili da kladionica nije osigurala ni redovito brisanje osobnih podataka po isteku roka čuvanja, što je izravno protivno članku 5. Opće uredbe o zaštiti podataka. Na upit zašto nije uvedeno sigurnosno kopiranje podataka, uprava kladionice odgovorila je kako je to – preskupo.

U trenutku nadzora kladionica je obrađivala osobne podatke čak 70.259 korisnika, ali nije imala implementirane osnovne sigurnosne protokole, što je dodatno pogoršalo cijeli slučaj.

AZOP kaznio s 175 tisuća eura, upozorenje i drugima

Zbog svih navedenih propusta, AZOP je kladionici izrekao upravnu novčanu kaznu od 175.000 eura, ističući da su nedostaci u sustavu zaštite bili višestruki i ozbiljni. Agencija poručuje da se obrada osobnih podataka mora odvijati uz najviše standarde sigurnosti te da trošak implementacije nikako ne može biti izgovor za ugrožavanje prava građana.