Viis, kuidas kodulehe omajad rikuvad Isikuandmete kaitse seadust ja riskiva kuni 32 000 eurose trahviga.

Jaga infot:

Jätkuks oma eelmisele postitusele POP3 ja IMAP teemal otsustasin juhust kasutada ja lugejaid veelgi “ehmatada”.

Tavaliselt kaasnevad ettevõtte e-mailiga ka kodulehed.

Ma usun, et kõik, kes on mõnda internetilehekülge külastanud, on kokku puutunud järgnevaga:

http:// lehtedega 

ja https:// lehtedega

Kõik, mida see tähendab, on sisuliselt see, kas sinu arvuti ja serveri vahel, kus külastatav veebileht paikneb, andmesideühendust krüpteeritakse või mitte.

Kui me räägime suvaliste lehtede külastamisest, siis kui päris aus olla, ega sellest midagi hullu juhtuda ei saa. Küll aga läheb asi põnevamaks, kui me räägime veebilehele andmete sisestamisest.

Võtame siinkohal ühe näite, kus pisifirma omanik uuendab veebilehel tootevalikut!

Kui aadressiribal on http, siis loomulikult tuleb esmalt oma lehele sisse logida ja sinu andmed saadetakse serveri poole teele täiesti tavalisel teksti kujul: näiteks USER:mart@…ee; PASS:SalaSala1

Täpselt samamoodi saadekse tekstikujul andmed serverile, kui sa veebipoes ostu sooritades enda aadressi, telefoninumbri ja ostukorvi sisu kinnitad.

Valades veelgi õli tulle, siis Andmekaitse inspektsioon on oma juhendis e-kauplejatele http://www.aki.ee/sites/www.aki.ee/files/elfinder/article_files/turvaline_e-pood.pdf välja toonud nõuded ja soovitused, ning punktis kolm on kirjeldatud ka kasutajate andmete kaitsmist. Olgu veel öeldud, et kui need andmed juba sinu kätte on jõudnud, siis järgneb kehtivate määruste kohaselt omajagu nõuded, millega arvestada tuleb.

Lisaks on Isikuandmete Kaitse Seaduse § 25.  Isikuandmete organisatsioonilised, füüsilised ja infotehnilised turvameetmed , lõige (2) Isikuandmete töötleja on isikuandmete töötlemisel kohustatud: punkt  6) tagama, et isikuandmete edastamisel andmesidevahenditega ja andmekandjate transportimisel ei toimuks isikuandmete omavolilist lugemist, kopeerimist, muutmist või kustutamist;

Kui klient sisestab sinu http:// lehel oma e-maili aadressi, telefoninumbri või koduse aadressi, siis ei ole ju omavoliline lugemine ja kopeerimine mitte mingit moodi sinu kui teenusepakkuja poolt piiratud!

Seega võib julgelt öelda, et kui sa korjad oma kodulehelt mistahes vormis infot oma klientide kohta (e-mail, nimi, telefoninumber), pead sa tegelema ka nende andmete kaitsmisega, sest vastasel juhul riskid füüsilise isikuna 300 trahviühiku suuruse karistuse-, juriidilise isiku puhul juba 32 000 eurose trahviga (Isikuandmete kaitse seaduse § 42).

Nagu tavaks on, annan ka siinkoha nõu, kuidas probleemi tasuta lahendada!

Hea uudis on see, et natuke rohkem kui aasta tagasi käivitati teenus nimega LetsEncrypt, mille puhul on veebiteenuse krüpteemiseks saadav sertifikaat TASUTA. Eestis pakuvad seda teenust näiteks Zone ja Veebimajutus. Neist esimeses (olen ise läbi teinud) on selle kasutusele võtmine läbi iseteeninduse ka mõne hiirekliki küsimus.

Siiski soovitan automaatsete suunamiste tarvis (http->https) võtta abiks kellegi, kes on veebilehe halduses natuke teadjam, sest näiteks WordPressi puhul võib tekkida olukord, kus lehtede linke on vaja uuendada (spetsialistile ei ole see küsimus, aga kogemusteta inimest võib mitte töötav veebileht kergesti paanikasse ajada).

Seega on võimalik ennast ja oma klientide andmeid tasuta turvata, lõpetame lekitamise ja seaduse rikkumise!

IT juhtimisest üldisemalt!