Andmekaitseinspektsioon algatas eelmisel nädalal järelevalvemenetluse elektrimüüja 220 Energia OÜ suhtes. Inspektsiooni nõuniku Stiina Liivranna sõnul võeti vaatluse all isikuandmete töötlemine enne eelmist nädalat.
Andmekaitseinspektsioon uurib 220 Energia apsu
Läinud nädalal tuli avalikuks, et 220 Energia veebikeskkonnas oli võimalik sõlmida lepinguid ka võõraste andmetega. Avaliku tähelepanu alt jäi esialgu välja seik, et keskkonna kaudu oli võimalik pääseda kõigi Eesti elektritarbijate andmeid sisaldavasse infosüsteemi Andmeladu ning vaadata seal ükskõik millise eraisikust elektritarbija andmeid, kelle isikukood oli teada.
Andmeladu haldab võrguettevõte Elering. Andmelattu on koondatud kõik Eesti elektri müügi ja ülekandmisega seotud lepingud ning elektritarbimise mõõteandmed. Igaüks saab aadressil http://andmeladu.elering.ee oma andmeid vaadata, autentides end panga kaudu või ID-kaardi abil.
Eleringi infotehnoloogiajuhi Riho Lodi sõnul peab elektrimüüjal olema andmete kasutamiseks tarbija volitus, mille saab anda paberil või Andmelao kaudu.
220 Energia veebis toimus volituse andmine sama liigutusega, millega sooritati päring ise. «Neil oli teatud vorm, mis tuli täita. Väljadest oli oluline ainult isikukood, ülejäänud väljad võis täita suvalise läbuga,» märkis Lodi.
«Kohe, kui meile see info tuli, sulgesime andmevahetuse 220 Energiaga ja hakkasime asja klaarima,» rääkis Eleringi IT-juht. «Tegime selle uuesti lahti mõne tunni möödudes, kui nad olid oma ebaturvalise portaali sulgenud.»
220 Energia avas oma veebi peagi uuesti, olles lisanud autentimise nõude. Ettevõtte juhatuse liige Marko Allikson ütles eile Postimehele, et 220 Energia rajas oma veebikeskkonna autentimiseta ja teise inimese isikukoodi kasutamise võimalusega täiesti teadlikult.
«Sellega võimaldasime kliendil sõlmida lepingu näiteks vanaisale-vanaemale,» selgitas ta ja lisas, et sellele võimalusele eraldi reklaami ei tehtud.