Turvaintsident leidis aset 2024. aasta alguses Apotheka lojaalsusprogrammi infosüsteemis. Uurimine tuvastas, et Allium UPI ei rakendanud elementaarsed küberhügieeni ja andmekaitse meetmeid. Selle tagajärjel pääsesid volitamata isikud korduvalt ligi infosüsteemi ja andmebaasi varukoopiale ning laadisid alla suures ulatuses tundlikke kliendiandmeid,
Lekkinud failid sisaldasid aastatel 2014–2020 Apotheka kliendiprogrammiga liitunute isikuandmeid (ees- ja perekonnanimi, isikukood, keel, sugu, e-posti aadress, telefoninumber, kodune aadress) ja ostuajalugu. Viimane hõlmas isikustatud infot ostetud ravimite, tervisenäitajate mõõtmise teenuste ning muu tundliku apteegikauba kohta, näiteks rasedus- ja ovulatsioonitestid, kuulmisaparaadi tarvikud, vererõhulisandid, intiimhügieenitooted, nahaprobleemide ravimid. Selline teave viitab inimese tervisele ja intiimsele elusfäärile.
Elementaarsed turvameetmed olid kasutusse võtmata
Menetluse käigus selgus, et Allium UPI jättis rakendamata mitmeid kriitilisi ja ka tavakasutajatele üldteada turvameetmeid. Näiteks jäi mitmetasemeline autentimine kasutusele võtmata, ühte personaalset administraatori kontot sama kasutajanime ja parooliga kasutas mitu inimest, tegevuslogide jälgimine oli puudulik ja andmebaasi varukoopiaid hoiti ebaturvaliselt. Samuti ei olnud rollid ja vastutused piisavalt selgelt määratletud.
„Kui ettevõtte ärimudel tugineb kliendiandmete töötlemisele, peab nende kaitsmine olema lahutamatu osa ärimudelist. Igal ettevõttel, kellele kliendid oma andmed usaldavad, on kohustus neid kaitsta ja turvaliselt hoida. Kui ettevõte seda ei tee, seab ta ohtu oma klientide privaatsuse ja usalduse,“ selgitas Andmekaitse Inspektsiooni peadirektor Pille Lehis. „Antud juhul jättis Allium UPI vajalikud turvameetmed kasutusele võtmata ning selle tulemusel lekkisid sadade tuhandete inimeste andmed.“
„Meie ülesanne on kaitsta inimesi, kelle andmed lekkisid ja kes selle tõttu ei saa olla kindlad, kuidas nende andmeid võidakse kuritarvitada,“ lisas Andmekaitse Inspektsiooni jurist Jekaterina Aader. „Meie roll on tagada, et ettevõtted õpiksid nendest juhtumitest ja tõstaksid oma andmekaitse taset. Trahv on viimane abinõu, mille eesmärk on vastutuse rakendamine ja ennetus,“ rääkis Aader.
Trahvi suuruse kujunemisel arvestati rikkumise ulatust, lekkinud andmete tundlikkust, mõjutatud isikute arvu ning ettevõtte käivet. Otsust tehes lähtuti Euroopa Liidu isikuandmete kaitse üldmäärusest ja Euroopa Andmekaitsenõukogu vastavatest suunistest.
Kõik andmetöötlejad on kohustatud tagama, et isikuandmeid töödeldakse turvaliselt. See tähendab muu hulgas süsteemide pidevat monitooringut, turvaaukude kiiret kõrvaldamist ja juurdepääsude ranget kontrolli.
Trahviotsus ei ole veel jõustunud. Ettevõttel on võimalik seda 15 päeva jooksul vaidlustada.