Veebruaris 2024 leidis aset Eesti seni ulatuslikuim andmeleke, mis puudutas rohkem kui poolt elanikkonnast – sisuliselt iga teist Eesti elanikku. Kuu aega kestnud ründe käigus pääsesid ründajad ligi Allium UPI OÜ hallatavale Apotheka lojaalsusprogrammi süsteemile ning laadisid alla kliendiandmebaasi varukoopiafailid 2014.–2019. aastatel programmi kogutud Apotheka apteekide, Apotheka Beauty veebipoe ning PetCity poe kliendiandmetega. Kokku lekkis 19 GB andmeid, mis sisaldasid üle 750 000 inimese isikuandmeid (nimi, isikukood või sünniaeg, sugu, kontaktandmed, elukoha aadress) ning ostuajalugu. Ligi saadi ka hilisemale, 2020. aasta ostuajaloole. Ostuajalugu hõlmas väga suures ulatuses isikustatud tundlike ostude andmeid, sealhulgas ravimite, tervisetoodete ja tervisenäitajate mõõtmise teenuste kohta. Lekkinud andmekoosseis annab otseselt või kaudselt teavet inimese tervise kohta, mistõttu kvalifitseerub see terviseandmeteks ehk eriliiki isikuandmeteks IKÜM-i artikli 9 tähenduses ning vajab seetõttu kõrgematasemelist kaitset.
Algatasime intsidendi kohta järelevalvemenetluse ja hiljem väärteotunnuste ilmnemisel ka väärteomenetluse.
Kuigi Allium UPI OÜ andis meile nõuetekohaselt isikuandmetega seotud rikkumisest teada, otsustas ta andmesubjekte juhtunust mitte teavitada, hinnates ekslikult, et lekkinud andmestik ei sisaldanud ravimite andmeid ja seetõttu oli potentsiaalne kahju piiratud. Jõudes vastupidisele järeldusele ja leides, et süsteemist lekkinud andmestikku kuulub ka tervisele osundav teave ja selle kolmandale isikule teatavaks saamine kujutab endast andmesubjektidele suurt ohtu IKÜM-i artikli 34 tähenduses, kohustasime ettevõtet inimesi teavitama ja andma juhised ohtude leevendamiseks.
2025. aasta sügisel määrasime Allium UPI OÜ-le 3 miljoni euro suuruse rahatrahvi Apotheka lojaalsusprogrammi süsteemis isikuandmete töötlemisel IKÜM-i artikli 5 lg 1 punktis f ette nähtud usaldusväärsuse ja konfidentsiaalsuse põhimõtte rikkumise eest, mis seisnes vastutava töötleja üldise kohustuse (IKÜM-i artikkel 24), andmekaitsemeetmete lõimimise ja vaikimisi rakendamise kohustuse (IKÜM-i artikkel 25) ning riskipõhist lähenemist kasutades isikuandmetele asjakohase turvalisuse tagamise kohustuse rikkumises (IKÜM-i artikkel 32).
Heitsime Allium UPI OÜ-le väärteona ette, et tema rakendatud turvameetmed ei taganud süsteemis töödeldavate isikuandmete IKÜM-i nõuetele vastavat turvalisuse taset. Ründajad said süsteemile volitamata juurdepääsu turvanõrkuste ärakasutamise tõttu, mis tõi kaasa ulatusliku isikuandmete, sealhulgas terviseandmete ebaseadusliku kaotsimineku.
IKÜM kohustab vastutavat töötlejat tagama, et isikuandmeid töödeldakse viisil, mis kaitseb neid loata või ebaseadusliku töötlemise, juhusliku kaotsimineku, hävimise või kahjustumise eest, rakendades asjakohaseid tehnilisi ja korralduslikke meetmeid. Selleks tuleb arvesse võtta töötlemise laadi, ulatust, konteksti ja eesmärke ning lõimida andmekaitsemeetmed töötlemisprotsessi ja neid vaikimisi rakendada. Rakendatavad korralduslikud ja tehnilised meetmed peavad olema proportsionaalsed ohuga andmesubjektide õigustele ja vabadustele.
Väärteomenetluses selgus, et Allium UPI OÜ ei rakendanud mitut kriitilist ja ka tavakasutajale üldteada turvameedet. Näiteks kasutati süsteemi sisenemisel autentimisvahendiks üksnes parooli, ei rakendatud mitmikautentimist, administraatorikonto kasutajanime ja parooli kasutas mitu isikut ühiselt, võimaldades selle edasijagamist. Puudusid ka need kaitsemeetmed, mida võis andmetöötlejalt eeldada, arvestades töötlemise laadi, konteksti ja ulatust ja arvestades talle IKÜM-iga pandud kohustusi.
Näiteks:
• võrgupiirangud ja turvaseire olid puudulikud;
• andmebaasi varukoopiad hoiti ebaturvaliselt;
• volitatud töötlejate rollid ja vastutus olid ebaselged ning kontroll nende tegevuse üle vähene;
• ettevõttes kehtivad andmekaitsemeetmed jäeti süsteemile rakendamata;
• puudusid ennetusmeetmed mittevajalike (nt ravimitega seotud) andmete süsteemi sattumise vältimiseks jt.
Mida juhtumist õppida? Apotheka andmeleke näitas, et andmekaitse ei ole pelgalt formaalsus, vaid valitud reeglite tegelik rakendamine ning turvameetmete ajakohasuse ja töötlemise riskile vastavuse pidev hindamine ja kontroll kogu andmetöötluse elutsükli vältel. Vastutav töötleja peab jälgima tehnoloogia arengut ja rakendama sellele vastavaid turvalahendusi. Juhtum tuletab meelde, et vastutava töötleja kohustus ei piirdu usaldusväärse volitatud töötleja valimisega – ta peab aktiivselt kontrollima rakendatud meetmete asjakohasust ja toimivust, vajadusel kaasama pädevaid eksperte ning korraldama kasutatavate lahenduste auditeid.
Eriti olukorras, kus isikuandmete töötlemine on ettevõtte äritegevuse keskne osa, peab sellega kaasas käima ka vastav andmekaitse tase. Kord lekkinud andmeid ei ole võimalik tagasi pöörata ning nende väärkasutuse risk võib realiseeruda alles aastate pärast, mistõttu inimese kontroll oma andmete üle ei tohi teenuste või hüvede nimel kunagi kaduda.
Allium UPI OÜ-le karistuse määramisel lähtusime rikkumise raskusest, ettevõtte võimekusest, ning võtsime arvesse ka koostöö ulatuse menetluse käigus. Arvestades rikkumise süsteemset ja pikaajalist iseloomu, lekkinud andmete tundlikkust, mõjutatud isikute suurt arvu ning kasutusele võetud turvameetmeid, oli rahatrahvi määramine selles olukorras proportsionaalne ja sobiv meede. Allium UPI OÜ kaebas otsuse kohtusse ning edasine selgub kohtumenetluses.
- Kommenteerimiseks logi sisse või registreeru