Estonijsko nadzorno tijelo kaznilo je Allium UPI OÜ, tvrtku koja upravlja programom vjernosti Apotheke, s 3 milijuna eura zbog nezakonite obrade osobnih podataka kupaca i korištenja neadekvatnih sigurnosnih mjera.
Prema estonijskom nadzornom tijelu, nemaran odnos tvrtke prema podacima svojih kupaca ugrozio je privatnost više od 750.000 ispitanika, uključujući djecu i druge ranjive skupine.
Sigurnosni incident dogodio se početkom 2024. unutar informacijskog sustava programa vjernosti Apotheke.
Istraga je utvrdila da Allium UPI nije implementirao osnovne mjere kibernetičke higijene i zaštite podataka. Kao rezultat toga, neovlaštene osobe su više puta pristupale informacijskom sustavu i sigurnosnoj kopiji baze podataka te preuzimale velike količine osjetljivih podataka o kupcima.
Procurile datoteke sadržavale su osobne podatke (ime i prezime, osobni identifikacijski broj, jezik, spol, adresu e-pošte, telefonski broj, kućnu adresu) i povijest kupnje pojedinaca koji su se pridružili programu za korisnike Apotheke između 2014. i 2020. godine.
Potonje je uključivalo personalizirane informacije o kupljenim lijekovima, zdravstvenim uslugama i drugim osjetljivim ljekarničkim proizvodima, kao što su testovi za trudnoću i ovulaciju, pribor za slušne aparate, tlakomjeri, proizvodi za intimnu higijenu i proizvodi za njegu kože.
Prema izvješću, osnovne sigurnosne mjere nisu provedene.
Allium UPI se naravno nije slagao s odlukom i žalio se na nju sudu.
„Zahvaljujući bliskoj suradnji s estonskim i međunarodnim vlastima, marokanski kriminalac koji je bio kriv za navedeno je identificiran. Prema informacijama koje su nam dostavili tužiteljstvo i agencije za provođenje zakona, podaci ukradeni prije godinu i pol nisu korišteni u kriminalne svrhe niti su dostupni na dark webu“, navodi se u priopćenju tvrtke za javnost.
„Nisu prikupljene niti se prikupljaju lozinke kupaca ili bankovni podaci kao dio programa za kupce Apotheke. Priopćenje za javnost inspektorata širi obmanjujuće informacije o ukradenim informacijama. Primjerice, od unosa podataka koji su zapravo pali u ruke kibernetičkih kriminalaca, maksimalno 0,01 posto odnosilo se na lijekove sa receptom. Svrha programa za kupce nije prikupljanje informacija o lijekovima ili ljekarničkim proizvodima kupaca koji su pokriveni državnim subvencijama“, dodaje se u priopćenju za javnost.
Neovisno o svim izjavama za javnost reputacijska šteta koja je nastala je ogromna. Vratiti povjerenje kupaca bit će zasigurno teško.
Što nadzorno tijelo gleda i kako procjenjuje visinu kazne?
O tome što je nužno raditi u slučaju incidenta smo pisali u mnogim ranijim blogovima:
Kako se određuje visina kazne, ovisi o sljedećim koracima:
Korak 1: Utvrdite koliko je prekršaja (a time i novčanih kazni)
Korak 2: Procijenite zbroj početnih točaka
Korak 3: Razmotrite olakotne i otegotne čimbenike
Korak 4: Provjerite zbroj u odnosu na zakonski maksimum
Korak 5: Analizirajte, učinkovitost, odvraćanje i proporcionalnost
Idemo redom...
Korak 1 – Utvrđivanje kršenja
Regulatori prvo identificiraju specifične aktivnosti obrade koje su prekršile GDPR i klasificiraju ih u odgovarajuću razinu (nižu ili višu). Na primjer, neprovedba odgovarajućih sigurnosnih mjera obično spada u nižu razinu, dok nezakonita obrada ili ignoriranje prava ispitanika obično spada u višu razinu.
Korak 2 – Procjena težine i određivanje početnog iznosa
Tijela zatim procjenjuju prirodu, težinu i trajanje kršenja kako bi odredila početnu točku za kaznu. EDPB predlaže okvirne raspone:
Niska težina: 0–10% maksimuma.
Srednja težina: 10–20% maksimuma.
Visoka težina: 20–100% maksimuma.
Ozbiljno kršenje može imati početni iznos od 20% od 20 milijuna eura (ili 20% od 4% globalnog prometa ako je to više).
Korak 3 – Prilagodba otegotnim i olakšavajućim čimbenicima
Nadležna tijela zatim prilagođavaju početni iznos. Otegotni čimbenici uključuju namjerno nedolično postupanje, ponavljanje prekršaja, kašnjenje u obavještavanju o kršenjima ili ometanje istraga. Otegotni čimbenici mogu uključivati brze napore ublažavanja, dobrovoljne obavijesti o kršenjima i punu suradnju.
Korak 4 – Provjera u odnosu na maksimum
Prilagođeni iznos mora ostati unutar zakonskih ograničenja GDPR-a, bilo 10 milijuna eura/2% ili 20 milijuna eura/4% globalnog prometa.
Korak 5 – Osiguravanje učinkovitosti, proporcionalnosti i odvraćanje
Na kraju, nadležna tijela moraju osigurati da je kazna učinkovita, proporcionalna veličini i resursima tvrtke te dovoljno odvraćajuća. To osigurava da male tvrtke ne budu uništene nesrazmjernim kaznama dok velike multinacionalne kompanije ne mogu jednostavno apsorbirati manje kazne kao trošak poslovanja.
Zašto je promet važan
Značajka GDPR-a je korištenje ukupnog godišnjeg prometa diljem svijeta kao osnove za izračun maksimalnih kazni. To znači da velike multinacionalne kompanije ne mogu izbjeći smislenu provedbu skrivanjem poslovanja u malim podružnicama. Pragovi od 2% ili 4% primjenjuju se na promet cijele korporativne grupe, stvarajući stvarne poticaje za usklađenost sa zakonima EU o zaštiti podataka.
Upravo ovo su kriteriji koje je nadzorno tijelo uzelo u obzir prilikom kažnjavanja Allium UPI OÜ.
