Hekerska skupina objavila povezavo do zaupnih podatkov Nove24TV

Na Novi24TV so zanikali poročanja nekaterih medijev, da je hekerska skupina vdrla v njihov strežnik in uspela skopirati podatkovno bazo. "Naši IT-strokovnjaki so namreč po temeljitem pregledu ugotovili, da je Anonymous v roke dobil staro varnostno kopijo spletne strani," so zapisali na spletni strani. V bazi se nahajajo tudi gesla, vendar v šifrirani obliki oziroma v obliki t. i. kontrolnih vsot, zato njihova neposredna zloraba ni mogoča, so zatrdili.

Po njihovih navedbah so se v rokah skupine Anonymous, ki je povezavo do podatkov objavila na Twitterju, znašli stari članki, fotografije člankov, priponke, komentarji spletnih uporabnikov in njihovi identifikacijski podatki (ID). "Ker od februarja 2020 za komentiranje uporabljamo sistem Disqus, elektronska pošta in IP-naslovi uporabnikov niso več v celoti vidni in so posledično bolje zavarovani," so pojasnili. Napovedali so, da bodo podali kazensko ovadbo in poskrbeli, da se podatki čim prej umaknejo s spleta.

Informacijska pooblaščenka Mojca Prelesnik je ob tem za STA pojasnila, da so pri njih po uradni dolžnosti konec tedna že začeli postopek ugotavljanja morebitnih kršitev, saj so iz medijev izvedeli za varnostni incident. Doslej sicer še niso prejeli nobene prijave ali uradnega obvestila o kršitvi varnosti osebnih podatkov.

Kot je pojasnila Prelesnikova, je upravljavec portala o tovrstni kršitvi dolžan obvestiti informacijskega pooblaščenca, in sicer najpozneje v 72 urah po seznanitvi s kršitvijo. Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, uredba o varstvu podatkov GDPR zahteva, da upravljavec o kršitvi neposredno obvesti zadevne posameznike in da to stori brez odlašanja.

Informacijski pooblaščenec po prejemu prijave ali uradnega obvestila o kršitvi varnosti osebnih podatkov tega prouči in če ugotovi, da je šlo za kršitev uredbe GDPR ali zakona o varstvu osebnih podatkov, po uradni dolžnosti uvede inšpekcijski postopek, nadaljnji ukrepi pa so odvisni od ugotovitev inšpekcijskega postopka. Informacijski pooblaščenec lahko na podlagi teh ugotovitev upravljavcu denimo odredi sprejem ukrepov, s katerimi se izboljša ali zagotovi varnost osebnih podatkov, poleg tega pa lahko v primeru ugotovljenih kršitev uvede postopek o prekršku in/ali poda kazensko ovadbo na primer zaradi zlorabe osebnih podatkov ali napada na informacijski sistem.

Posameznik, katerega osebnih podatki so bili nezakonito javno objavljeni, lahko na podlagi uredbe GDPR od upravljavca zahteva izbris svojih osebnih podatkov, kršitev pa lahko prijavi tudi informacijskemu pooblaščencu. Če je bila posamezniku zaradi nezakonite objave osebnih podatkov povzročena škoda, lahko od povzročitelja zahteva tudi odškodnino, o čemer odloča krajevno pristojno sodišče.