Estoński organ nadzorczy (Andmekaitse Inspektsioon), nałożył karę w wysokości 3 milionów euro (ok. 12,7 miliona złotych) na firmę zajmującą się sprzedażą leków i suplementów diety. Kara została nałożona za nieprawidłowości związane z zabezpieczeniem danych w ramach prowadzonego programu lojalnościowego, polegające m.in. na całkowitym lekceważeniu procedur cyberbezpieczeństwa. Nieprawidłowości wyszły na jaw w związku z wyciekiem danych, który objął ponad 750 000 osób.
Duży wyciek danych
Na początku 2024 roku w Estonii doszło do wycieku danych osobowych o wielkiej skali w jednej z firm prowadzącej sprzedaż leków i suplementów. Według doniesień, nieuprawnione osoby uzyskały dostęp do kopii zapasowych baz danych powiązanych z programem lojalnościowym prowadzonym przez administratora, a następnie pobrały ogromne ilości danych osobowych, w tym danych szczególnej kategorii. Naruszenie objęło dane osób, które przystąpiły do programu w latach 2014-2020, tj. około 750 000 osób. Warto zaznaczyć, że oprócz danych identyfikacyjnych i kontaktowych, wyciekiem objęte zostały również dane o historii zakupów. Biorąc pod uwagę, że mowa jest tu o zakupach leków i innych produktów farmaceutycznych, z informacji tych można również wywnioskować dane o zdrowiu osób, które
dokonywały zakupów.
Brak adekwatnych zabezpieczeń
Postępowanie prowadzone przez organ nadzorczy ujawniło cały szereg nieprawidłowości związanych z zabezpieczeniem systemów IT administratora. Organ nadzorczy zwrócił uwagę, że administrator nie stosował środków bezpieczeństwa standardowych nawet wśród przeciętnych, nieprofesjonalnych użytkowników urządzeń elektronicznych. Wśród zidentyfikowanych braków w systemie bezpieczeństwa, można wskazać np. brak weryfikacji dwuetapowej lub korzystanie z jednego konta przez kilku użytkowników. Stwierdzono również, że kopie zapasowe baz danych były praktycznie niezabezpieczone. Prawdopodobnie ta właśnie podatność miała wpływ na powstanie naruszenia.
Rekordowa kara
Zdaniem regulatora, w tej sprawie wystąpił cały szereg okoliczności przemawiających za nałożeniem surowej kary. Mimo że administrator prowadził działalność, której centralnym elementem było masowe przetwarzanie danych szczególnej kategorii, popełnione przez niego błędy miały poważny charakter i stały się przyczyną dużego wycieku danych. Warto zwrócić uwagę, że jest to najwyższa kara nałożona przez estoński organ nadzorczy na podstawie przepisów RODO. Dotychczas regulator nakładał znacznie mniejsze kary. Biorąc jednak pod uwagę okoliczności, w tym liczne zaniedbania administratora w zakresie cyberbezpieczeństwa, wydaje się, że kara w tej sprawie mogła być nawet wyższa.
