Andmekaitse inspektsioon määras reedel Apotheka lojaalsusprogrammi haldavale osaühingule Allium UPI 3 miljoni euro suuruse rahatrahvi enam kui 750 000 kliendi andmete kaitsmata jätmise ja ebapiisavate turvameetmete kasutamise eest, kirjutab BNS.
Turvaintsident leidis aset eelmise aasta alguses Apotheka lojaalsusprogrammi infosüsteemis. Uurimine tuvastas, et Allium UPI ei rakendanud elementaarsed küberhügieeni ja andmekaitse meetmeid. Selle tagajärjel pääsesid volitamata isikud korduvalt ligi infosüsteemi ja andmebaasi varukoopiale ning laadisid alla suures ulatuses tundlikke kliendiandmeid,
Lekkinud failid sisaldasid aastatel 2014–2020 Apotheka kliendiprogrammiga liitunute isikuandmeid ja ostuajalugu. Viimane hõlmas isikustatud infot ostetud ravimite, tervisenäitajate mõõtmise teenuste ning muu tundliku apteegikauba kohta, näiteks rasedus- ja ovulatsioonitestid, kuulmisaparaadi tarvikud, vererõhulisandid, intiimhügieenitooted, nahaprobleemide ravimid.
Menetluse käigus selgus, et Allium UPI jättis rakendamata mitmeid kriitilisi ja ka tavakasutajatele üldteada turvameetmeid. Näiteks jäi mitmetasemeline autentimine kasutusele võtmata, ühte personaalset administraatori kontot sama kasutajanime ja parooliga kasutas mitu inimest, tegevuslogide jälgimine oli puudulik ja andmebaasi varukoopiaid hoiti ebaturvaliselt. Samuti ei olnud rollid ja vastutused piisavalt selgelt määratletud.
„Kui ettevõtte ärimudel tugineb kliendiandmete töötlemisele, peab nende kaitsmine olema lahutamatu osa ärimudelist. Igal ettevõttel, kellele kliendid oma andmed usaldavad, on kohustus neid kaitsta ja turvaliselt hoida. Kui ettevõte seda ei tee, seab ta ohtu oma klientide privaatsuse ja usalduse,“ ütles andmekaitse inspektsiooni peadirektor Pille Lehis. „Antud juhul jättis Allium UPI vajalikud turvameetmed kasutusele võtmata ning selle tulemusel lekkisid sadade tuhandete inimeste andmed.“
Trahvi suuruse kujunemisel arvestati rikkumise ulatust, lekkinud andmete tundlikkust, mõjutatud isikute arvu ning ettevõtte käivet. Otsust tehes lähtuti Euroopa Liidu isikuandmete kaitse üldmäärusest ja Euroopa andmekaitsenõukogu vastavast suunistest.
Trahviotsus ei ole veel jõustunud. Ettevõttel on võimalik seda 15 päeva jooksul vaidlustada.
