Euroopa Liidu nüüdseks kaks aastat jõus olnud andmekaitsereeglistik GDPR pole Eestis veel hiigeltrahve kaasa toonud – näiteks pääses Tartu rattaringlus noomitusega.
“Kuigi ootus Eesti esimese suure trahvi määramiseks oli olemas, ei määratud rikkumiste eest 2019. aastal suurt trahvi. Näiteks jäi selline trahv määramata rattaringluse süsteemis toimunud andmekaitselise rikkumise eest, kus piirduti noomitusega,” kirjutab andmekaitse inspektsioon (AKI) oma värskes aastaraaamatus.
GDPR-i rikkumise eest on Euroopa Liidus määratud juba väga suuri karistusi – näiteks sai Google 2019. aasta alguses 50 miljoni euro suuruse trahvi. Suurtrahve on määratud ka Eestile märksa lähemal, selle aasta alguses sai 150 000 euro suuruse trahvi näiteks üks Läti ettevõte, mille nime sealsed ametivõimud ei avaldanud.
Mis Tartus juhtus?
Tartu Linnvalitsus edastas inspektsioonile 8. juunil rikkumisteate, mille kohaselt oli volitamata isikutel võimalik Tartu rattaringluse süsteemis API kaudu juurde pääseda registreerunud kasutajate andmetele – seda nii kasutaja enda poolt sisestatud andmetele kui ka kasutajate teostatud sõitude andmetele, kirjeldab AKI aastaraamatus.
Lisaks oli võimalik muuta rataste parklate asukohti, neid kustutada ning lisada juurde uusi parkla-alasid ehk andmetega manipuleerida. Andmetele juurdepääs toimus kahel erineval viisil: avalike veebilinkide kaudu oli nähtav informatsioon kasutajate kohta: nimi, e-posti aadress, telefoninumber, kasutaja ID, registreerimise aeg, staatus (aktiivne/mitteaktiivne). Lisaks oli võimalik näha isiku bussikaardi numbrit kasutaja kasutaja ID-ga kokku viies.
Süsteemi registreerunud kasutajale sai võimalikuks näha järgmisi andmeid: kasutajate sõitude andmed (millisest dokist/peatusest on võetud ratas ning võimalik oli tuvastada kasutaja poolt läbitud sõiduteekond ja aeg).
Juurdepääs andmebaasile avalike veebilinkide kaudu sai küll kiiresti kõrvaldatud, kuid vaatamata sellele alustas inspektsioon 9. juulil järelevalvemenetlusega rikkumisteates esitatud asjaolude väljaselgitamiseks.
Inspektsioon monitooris põhjalikult rattaringluse süsteemi ja tutvus Tartu Linnavalitsuse esitatud raportitega ning leidis, et sisuliselt oli tegemist rattaringluse süsteemi turvanõrkusega, mille põhjuseks ei olnud inimlik pahatahtlikkus.
Kuna turvanõrkus sai kiiresti likvideeritud, lõpetas inspektsioon menetluse soovitusega teha enne uue rakenduse tööle laskmist põhjalikumat kontrolli.
