Andmekaitse inspektsioon (AKI) määras Apotheka lojaalsusprogrammi haldavale osaühingule Allium UPI 3 miljoni euro suuruse rahatrahvi enam kui 750 000 kliendi andmete kaitsmata jätmise ja ebapiisavate turvameetmete kasutamise eest. Ettevõte otsusega ei nõustu ja kavatseb selle kohtus vaidlustada.
Turvaintsident leidis aset eelmise aasta alguses Apotheka kliendiprogrammi infosüsteemis. Uurimine näitas, et Allium UPI ei rakendanud mitmeid elementaarseid küberhügieeni meetmeid: mitmetasandiline autentimine puudus, ühte administraatori kontot kasutas mitu inimest, tegevuslogide jälgimine oli ebapiisav ning andmebaasi varukoopiaid hoiti ebaturvaliselt.
Lekkinud failid sisaldasid aastatel 2014–2020 kliendiprogrammiga liitunute isikuandmeid ja ostuajalugu, sealhulgas infot tundlike toodete, näiteks rasedus- ja ovulatsioonitestide, vererõhulisandite või intiimhügieenitoodete kohta.
AKI peadirektor Pille Lehis rõhutas, et kliendiandmete töötlemisele tuginev ärimudel eeldab ka nende kaitset: „Kui ettevõte seda ei tee, seab ta ohtu klientide privaatsuse ja usalduse. Antud juhul jättis Allium UPI vajalikud turvameetmed kasutusele võtmata ning selle tulemusel lekkisid sadade tuhandete inimeste andmed.“
Trahvi suuruse määramisel arvestati rikkumise ulatust, andmete tundlikkust, mõjutatud isikute arvu ja ettevõtte käivet. Otsus tugineb Euroopa Liidu isikuandmete kaitse üldmäärusele (GDPR) ja Euroopa andmekaitsenõukogu juhistele.
Allium UPI aga väidab, et AKI hinnang on väär
“AKI otsus tugineb vääratel faktidele ning oma hinnangu peab alles andma kohus. Meil on siiralt kahju, et kurjategijad varastasid Apotheka kliendiandmebaasi varukoopia. Tänu tihedale koostööle Eesti riigi ja rahvusvaheliste asutustega on Maroko päritolu kurjategija tuvastatud,” märkis Allium UPI.
“Prokuratuuri ja õiguskaitseasutuste poolt meile antud info kohaselt ei ole poolteist aastat tagasi varastatud andmeid kasutatud kuritegelikel eesmärkidel ega pakutud tumeveebis,” kinnitas ettevõte.
Samuti rõhutab Allium UPI, et andmed pärinesid aastatest 2014–2020 ning kliendiprogrammis ei kogutud ei paroole ega pangaandmeid. Ettevõtte kinnitusel oli käsimüügiravimitega seotud maksimaalselt 0,01 protsenti kirjetest ning kliendiprogrammi eesmärk ei olnud ravimiinfo kogumine, vaid personaalse soodustuspaketi pakkumine.
“Küberkuritegevus on tänapäeva maailmas kõige kiiremini arenev kuritegelik suund. Rünnatakse kõiki – riike, ettevõtteid, eraisikuid ja seda tehakse kogu aeg. Meie kõigi ülesanne on end järjekindlalt kaitsta. Allium UPI on tänaseks veelgi tõstnud oma küberturvalisuse taset. Kuigi me ei nõustu inspektsiooni otsusega on meie jaoks kliendiandmete turvalisus prioriteet,” kinnitas Allium UPI.
Trahviotsus ei ole veel jõustunud. Ettevõttel on võimalik see 15 päeva jooksul kohtus vaidlustada.
