Oluline õppetund: üks vale seadistus tõi ettevõttele kaela miljonieurose trahvi

Kuigi IMY otsus puudutab üksnes konkreetset situatsiooni, sisaldab see siiski olulist õppetundi kõigile ettevõtjatele – isikuandmete kaitse ei ole puhtalt formaalsus ja tüütu dokumendimajandus, vaid paika pandud protsesse tuleb ka päriselt järgida.

Avanza Bank kasutas, nagu paljud teisedki, oma veebilehel ning mobiilirakenduses Facebook Pixel (tänaseks Meta Pixel) küpsiseid, et optimeerida oma reklaamide esitamist Facebookis. Kuigi esialgu kasutati küpsiseid isikuandmete kaitse seisukohalt korrektselt, siis 2019. aastal ekslikult muudetud küpsisteseaded tõid kaasa tõsise rikkumise. Klientide isikuandmete seadusevastane töötlemine oli seotud Pixeli uute teenuste Automatic Advanced Matching (automaatne täiustatud sobitamine) ja Automatic Events (automaatsed tegevused) kasutuselevõtuga.

Mis on Automatic Advanced Matching ja Automatic Events?

Automatic Advanced Matching (AAM) funktsioon võimaldab Metal viia veebilehe või mobiilirakenduse kasutaja kokku Meta platvormidel loodud kontodega. Selleks otsib AAM funktsioon veebilehel vormivälju ning edastab kogu neisse sisestatud informatsiooni räsitud kujul Metale. Seejärel tuvastab AAM saadud teabest kontaktandmed nagu ees- ja perekonnanimi, telefoninumber või e-posti aadress ning võrdleb neid Facebooki ja Instagrami kasutajate andmetega. Selliselt saab Meta tuvastada ja profileerida külastajaid, et oma platvormidel reklaame tõhusamalt esitada. Samuti võib Meta seda teavet kasutada oma teenuste ja suunatud reklaamide täiustamiseks, millest saavad kasu ka teised Pixeli või Meta reklaamide platvormi kasutajad.

Automatic Events (AE) funktsioon jälgib veebilehe külastajate käitumist ja interaktsioone lehe erinevate funktsioonidega. AE salvestab informatsiooni näiteks nupuvajutuste, menüüvalikute, erinevatel vahelehtedel liikumise ja otsingu kasutamise kohta. Seda informatsiooni kasutatakse suunitletud reklaamide asjakohastamiseks ja efektiivsemaks muutmiseks.

Milles seisnes rikkumine?

Rootsi andmekaitseasutus IMY heitis pangale ette vajalike turvameetmete rakendamata jätmist. Kuigi pangal olid välja töötatud sisemised protsessid, mis oleksid pidanud tagama, et viiakse läbi vajalikud riskihinnangud ja veendutakse küpsiste kasutamise sobilikkuses ning andmete kogumise ja edastamise turvalisuses, siis uute Pixeli funktsioonide kasutusele võtmisel seda protseduuri ei järgitud.

Uurimise käigus selgus, et panga turundusspetsialistid olid pöördunud õigustiimi poole sooviga lisada AAM ja AE funktsioonid panga veebilehele ning mobiilirakendusse, kuid õigustiim oli selle ära keelanud. Sellest hoolimata kogusid ja edastasid küpsised poolteist aastat kasutajate andmeid Metale. Uurimise käigus ei suudetud tagantjärele tuvastada, kes funktsionaalsused sisse lülitas. Panga enda sõnul lülitati Pixeli uued teenused sisse kogemata.

AAM ja AE aktiveerimise tagajärjel saatis pank pooleteist aasta jooksul kuni miljoni inimese isiku- ja finantsandmeid Metale. Peamiselt puudutas see panga kliente, kuid teatud juhtudel ka panga veebilehe või mobiilirakenduse kasutajaid, kes ei olnud sisse logitud. Edastatud andmete hulka kuulusid isikukoodid, kontaktandmed (sh telefoninumber, e-posti ja elukoha aadress), laenusummad, kontonumbrid, krediidilimiidid, väärtpaberiosalused ja nende väärtused ning palju muud.

Rootsi andmekaitseasutus heitis pangale muu hulgas ette asjaolu, et pank ei suutnud ise pooleteise aasta jooksul rikkumist tuvastada, vaid sellele pidi tähelepanu pöörama väline allikas. See andis järelevalveasutusele selge indikatsiooni, et pangal puuduvad piisavad ja toimivad protsessid turvariskide tuvastamiseks. IMY sõnul oleks pangal pidanud kasutusel olema meetmed, mis aitavad ära hoida tahtmatuid andmeedastusi ning tuvastada muudatusi nende süsteemides. Ebapiisavate turvameetmete tõttu edastati pika aja jooksul suure hulga andmesubjektide tundlikke andmeid ilma õigusliku aluseta.

Peale rikkumisest teada saamist lõpetas Avanza Bank koheselt Meta Pixel teenuse kasutamise. Pank võttis viivitamata ka Metaga ühendust ning palus kõik nende käest kogutud andmed koheselt ja jäädavalt kustutada, mida Meta ka tegi. Lisaks on pank üle vaadanud ja täiustanud isikuandmete töötlemise sisemisi protsesse. Kuigi panga astutud sammud rikkumise tagajärgede leevendamiseks ja edasiseks vältimiseks olid igati õiged, leidis Rootsi andmekaitseasutus, et see ei mõjuta juba toimepandud rikkumise raskust. Protsesside korrastamine ja tulevaste rikkumiste ära hoidmine ei tee olematuks asjaolu, et sadade tuhandete andmesubjektide õigusi oli ebapiisavate turvameetmete tõttu juba rikutud.

Mida sellest juhtumist õppida?

Isikuandmete kaitsmine ei ole tüütu kohustus, mis tuleb kaelast ära saada erinevate dokumentide kokku vorpimisega, et vältida Andmekaitse Inspektsiooni huviorbiiti sattumist. Avanza Banki juhtum näitab selgelt, et üksnes andmekaitsealaste dokumentide ja sise-eeskirjade olemasolu ei tähenda midagi, kui nendes sisalduvat ei järgita. Isikuandmete töötlemise läbimõeldud protsesse on vaja sõnastada just selle jaoks, et ära hoida eelkirjeldatud olukordi, kus finantsasutus „kogemata“ jagab enam kui aasta jooksul ligi miljoni inimese tundlikke andmeid.

Samuti tasub meelde jätta, et uute küpsiste kasutamine (ja ka teised isikuandmete töötlemise protsessid) tuleks alati eelnevalt põhjalikult läbi mõelda. See tähendab muu hulgas kontrollimist, millistele andmetele küpsiste kaudu ligipääs võimaldatakse. Iseenesest ei ole reklaamide tõhusamaks muutmine läbi klientide eelistuste kaardistamise keelatud, kuid seejuures tuleb tagada, et sellega ei jagataks kolmandatele isikutele konfidentsiaalseid andmeid. Nii tuleks näiteks enne AAE kasutusele võttu kontrollida, millistelt väljadelt ja vormidelt see andmeid koguda saab. Uute teenuste rakendamisel tuleks alati lisaks IT-spetsialistile konsulteerida ka õigusteenuse osutajaga, kes aitab tagada, et isikuandmete töötlemisel järgitaks kõiki seadusest tulenevaid kohustusi.

Samuti tuletab vaatluse all olev otsus taaskord meelde, et oluline on isikuandmete kaitse küsimustega tegeleda juba ennetavalt ning tagada protsesside õiguspärasus kogu andmetöötluse ajal. Seejuures tuleb mõelda ka tehnilistele ja korralduslikele meetmetele, mis tagavad andmetöötlusprotsesside regulaarse kontrolli, et avastada tekkinud probleemid võimalikult kiiresti. Erinevate riikide andmekaitseasutuste järjepidev praktika on näidanud, et hilisemad heastamiskatsed ei anna enam alust trahvimäärade vähendamiseks ja see ei mõjuta juba toime pandud rikkumise raskust.