В начале прошлого года из базы данных компании Allium UPI утекли личные данные и история покупок сотен 750 000 клиентов аптечной сети Aрotheka. Речь идет о компаниях одной группы – бенефициаром Allium UPI является крупный бизнесмен Маргус Линнамяэ, пишет ERR.

В мае этого года полиция и прокуратура объявили в розыск 25-летнего гражданина Марокко, подозреваемого в скачивании данных. По данным инспекции, преступнику не пришлось прилагать особых усилий, так как в компании не были внедрены элементарные меры безопасности. Утечка затронула чувствительную информацию, например, о покупках лекарств, тестов на беременность, средств интимной гигиены и услуг по измерению показателей здоровья.

"Если бизнес-модель компании основана на обработке данных клиентов, защита этих данных должна быть неотъемлемой частью бизнес-модели. Каждая компания, которой клиенты доверяют свои данные, обязана их защищать и хранить безопасно. Если компания этого не делает, она подвергает опасности приватность и доверие своих клиентов", – объяснила генеральный директор Инспекции по защите данных (AKI) Пилле Лехис.

"В данном случае Allium UPI не внедрили необходимые меры безопасности, и в результате произошла утечка данных сотен тысяч людей", – добавила Лехис.

"Наша роль заключается в том, чтобы компании учились на этих случаях и повышали уровень защиты данных. Штраф – это крайняя мера, цель которой – привлечение к ответственности и профилактика", – сказала юрист Инспекции по защите данных Екатерина Аадер.

При определении размера штрафа учитывались масштаб нарушения, чувствительность утекших данных, число затронутых лиц и оборот компании.

Все обработчики данных обязаны обеспечивать, чтобы персональные данные обрабатывались безопасно. Это, среди прочего, включает постоянный мониторинг систем, оперативное устранение уязвимостей и строгий контроль доступа.

Allium UPI с решением инспекции не согласна и намерена обжаловать штраф в суде

"Компания Allium UPI не была небрежен с персональными данными и не оставляла их без защиты. Решение AKI основано на неверных фактах, а свою оценку должен дать только суд. Нам искренне жаль, что резервная копия базы данных клиентов Apotheka была украдена преступником. Благодаря тесному сотрудничеству с эстонскими государственными и международными учреждениями преступник марокканского происхождения был идентифицирован. Согласно информации, предоставленной нам прокуратурой и правоохранительными органами, данные, украденные полтора года назад, не использовались в преступных целях и не предлагались в даркнете", – сообщила компания в пресс-релизе.

Также Allium UPI заявила, что AKI распространила в своем пресс-релизе ложную информацию.

"В рамках клиентской программы Apotheka не собирались и не собираются пароли клиентов или банковские данные. Пресс-релиз инспекции распространяет вводящую в заблуждение информацию об украденной информации. Приведем один пример: на самом деле из записей данных, оказавшихся у киберпреступников, максимум 0,01% было связано с записями о безрецептурных лекарствах", – добавляется в пресс-релизе.