"Если посмотреть на принципы сбора и обработки данных о клиентах Apotheka, то они очень расплывчаты. Например, там собираются три типа данных: данные клиентов, данные о покупках товаров и услуг, а это настолько широкий термин, что по сути он означает все данные", – сказала Сарв.

"Вы измерили давление, сделали прививку – эти данные тоже куда-то передаются, а на каком основании? Сбор и передача данных со стороны аптек, а также со стороны медицинских работников – это очень туманная и серая зона. Если человек приходит в аптеку, то соответствии с международными принципами, это автоматически становится особой информацией", – пояснила Сарв.

Сарв назвала большой катастрофой то, что данные 700 000 клиентов куда-то делись.

"Включая данные о лекарствах, хотя подчеркивается, что данных о рецептурных препаратах там нет. Но какая разница? Если есть какие-то данные о лекарствах, в том числе данные о безрецептурных препаратах, то это очень серьезная проблема", — считает Сарв.

Провизор отметила, что, несмотря на масштабы утечки данных, аптеки в настоящее время не осознают, что клиенты обеспокоены этим, и органы по защите данных должны отнестись к этому вопросу очень серьезно.

"То, что особые виды данных о людях каким-то образом собираются, передаются, хранятся, утекают – с точки зрения властей, это все-таки очень серьезный вопрос, потому что правовая основа [для защиты данных] есть, но это все очень расплывчато", – отметила Сарв.

"Инспекция по защите данных заявила, что она не занимается отдельными случаями, а занимается системными вопросами. Я ожидала, что на фоне нынешнего случая с Apotheka эта ситуация будет как-то лучше оценена, но мне кажется, что дело тоже никого не интересует. Это дело относительно бесперспективное", – говорит Сарв.

Юридически легальный черный ход к данным

По словам Сарв, возникает вопрос, кем является Apotheka в этом уравнении утечки данных.

"Данные были переданы Allium UPI конкретной аптекой, обществом с ограниченной ответственностью. Но знала ли эта аптека вообще, какие данные передает? Теоретически, вся ее деятельность, которая находится в компьютере, все, что происходит с покупателем, передается в Allium UPI. Инспекция по защите данных должна выяснить, на каком правовом основании третье лицо, называющее себя управляющим данными клиентов, может запрашивать данные у аптек", – сказала Сарв.

По словам Сарв, сбор данных из аптек также неоднозначен: если аптекарь хочет выяснить, какие лекарства используются в тех или иных случаях, или какие лекарства применяются от боли, такое исследование требует разрешения комитета по биоэтике.

"Там аптекарь должен доказать, для чего он использует данные, какие данные, на каком правовом основании — это хороший метод, даже если вы хотите расследовать очень простой вопрос. А сейчас какая-то компания просто собирает данные по сути всех жителей Эстонии и обрабатывает их, передает, неизвестно кому и хранит не анонимно, а персонализированно еще 10 лет после события. Для чего?" – спрашивает Сарв.

По ее мнению, речь идет о легальном черном ходе.

"Если я называю себя управляющим клиентской программы, то я имею право собирать данные о здоровье людей и обрабатывать их на основании какого-то очень расплывчатого согласия, полученного неясным образом. В случае особых видов данных, согласие на их предоставление должно быть четким – какие данные, кому и с какой целью", – пояснила Сарв.

Также Сарв считает проблематичным перекрестное использование карты клиентов аптек и магазинов в Эстонии. По словам директора франшизы аптек Benu Райнера Казевялья, клиенты аптек Benu получают скидки с картой Rimi, но в основе этого лежит техническое решение, которое не включает передачу данных клиентов ни аптеками Benu в Rimi, ни от Rimi в аптеки Benu.

Инспекция по защите данных: данные о продажах – это информация компании

Комментируя утечку данных Allium UPI, в Инспекции по защите данных заявили, что ситуация серьезная и департамент ею занимается.

По данным Инспекции, из-за организации работы компании данные о клиентах аптек под брендом Apotheka обрабатываются компанией Allium UPI. "За франшизой Apotheka стоит компания Allium UPI OÜ. Apotheka не собирает данные – Apotheka – это бренд. В принципах обработки данных по защите данных на странице Apotheka также указано, что Allium UPI OÜ является ответственным за работу с данными", – сказала советник по связям с общественностью Инспекции по защите данных Грете Лехемаа.

На вопрос, передаются ли некоторым компаниям данные о продажах рецептурных лекарств, приобретенных клиентами в аптеках Apotheka, Лехемаа ответила, что данные о продажах являются информацией компании. "Данные о продажах и экономический отчет не обязательно означают, что есть также данные о рецептурных лекарствах. Конечно, у компаний есть данные о том, что и в каком количестве закупается, но в этом случае они не должны быть в персонализированной форме, это не играет важной роли в достижении цели", – сказал Лехемаа.

На вопрос, почему в Эстонии разрешено перекрестное использование карточек клиентов, даже если одно торговое учреждение – аптека – обладает конфиденциальной информацией, Лехемаа ответила, что это не регулируется, поскольку не должно влиять на защиту данных.

"Данные должны быть защищены и сохранены в соответствии с общим положением о защите персональных данных", – отметила Лехемаа.

Поскольку это информация, связанная с процедурой, Инспекция не смогла прокомментировать, почему Allium UPI хранила данные о клиентах, собранные десять лет назад, в 2014 году.

Руководитель по информации компании-владельца Allium UPI OÜ, AS Magnum, принадлежащей Маргусу Линнамяэ, Мартин Аадамсоо обосновал долгосрочное хранение данных тем, что, согласно внутренним правилам компании, срок хранения данных составляет 10 лет.

"Аптеки собирают данные в рамках клиентской программы, что позволяет клиентам зарегистрироваться в качестве клиентов, и при желании они могут прекратить свой статус клиента аптеки", – сказал Аадамсоо.

В рамках клиентской программы данные о рецептурных лекарствах не собираются и не хранятся, подтвердил Аадамсоо. "Поэтому ими нельзя ни с кем поделиться", – сказал он.

4 апреля стало известно, что из системы клиентских карт, администрируемой компанией Allium UPI, которая оказывает данную услугу для Apotheka, Apotheka Beauty и Pet City, были украдены данные клиентов. Сообщение о несанкционированном проникновении в систему поступило в правоохранительные органы в феврале.

Установлено, что из базы данных Allium UPI были загружены личные коды около 700 000 владельцев клиентских карт Apotheka, Apotheka Beauty и PetCity, более 400 000 адресов электронной почты, около 60 000 домашних адресов и около 30 000 телефонных номеров.

Кроме того, данные позволяют установить, какие безрецептурные лекарства и прочие аптечные товары были куплены в период с 2014 по 2020 год. В общей сложности утечка касается данных о 43 млн покупок. Утечки данных о рецептурных лекарствах и паролях не было.