Rikkumine ei toonudki suurt trahvi

Kuigi ootus Eesti esimese suure trahvi määramiseks oli olemas, ei määratud rikkumiste eest 2019. aastal suurt trahvi. Näiteks jäi selline trahv määramata rattaringluse süsteemis toimunud andmekaitselise rikkumise eest, kus piirduti noomitusega. 

Tartu Linnvalitsus edastas inspektsioonile 8. juunil rikkumisteate, mille kohaselt oli volitamata isikutel võimalik Tartu rattaringluse süsteemis API kaudu juurde pääseda 20 0000 registreerunud kasutajate andmetele. Seda nii kasutaja enda poolt sisestatud andmetele kui ka kasutajate teostatud sõitude andmetele.

Lisaks oli võimalik muuta rataste parklate asukohti, neid kustutada ning lisada juurde uusi parkla-alasid ehk andmetega manipuleerida. Andmetele juurdepääs toimus kahel erineval viisil: avalike veebilinkide kaudu oli nähtav informatsioon kasutajate kohta: nimi, e-posti aadress, telefoninumber, kasutaja ID, registreerimise aeg, staatus (aktiivne/mitteaktiivne). Lisaks oli võimalik näha isiku bussikaardi numbrit kasutaja kasutaja ID-ga kokku viies.

Süsteemi registreerunud kasutajale sai võimalikuks näha järgmisi andmeid: kasutajate sõitude andmed (millisest dokist/peatusest on võetud ratas ning võimalik oli tuvastada kasutaja poolt läbitud sõiduteekond ja aeg).

Juurdepääs andmebaasile avalike veebilinkide kaudu sai küll kiiresti kõrvaldatud, kuid vaatamata sellele alustas inspektsioon 9. juulil järelevalvemenetlusega rikkumisteates esitatud asjaolude väljaselgitamiseks.

Inspektsioon monitooris põhjalikult rattaringluse süsteemi ja tutvus Tartu Linnavalitsuse esitatud raportitega ning leidis, et sisuliselt oli tegemist rattaringluse süsteemi turvanõrkusega, mille põhjuseks ei olnud inimlik pahatahtlikkus. Kuna turvanõrkus sai kiiresti likvideeritud, lõpetas inspektsioon menetluse soovitusega teha enne uue rakenduse tööle laskmist põhjalikumat kontrolli.