Na stronie internetowej Urzędu Rzecznika ds. Informacji (ICO) pojawiła się informacja
o zamiarze nałożenia kary w wysokości blisko 200 milionów funtów na British Airways. Na razie jest to wstępne rozstrzygnięcie, a przed podjęciem ostatecznej decyzji ICO wysłucha wyjaśnień spółki oraz opinii innych organów z Unii. Treść informacji w języku angielskim, której tłumaczenie przedstawiono poniżej, jest dostępna tutaj: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/.
Po przeprowadzaniu szeroko zakrojonego postępowania ICO wydał postanowienie o zamiarze ukarania British Airways karą w wysokości 183,39 miliona funtów za naruszenie Ogólnego Rozporządzenia o Ochronie Danych (RODO).
Zaproponowana kara dotyczy incydentu internetowego, o którym British Airways poinformowała ICO we wrześniu 2018 r. Incydent obejmował m. in. przekierowanie ruchu użytkowników ze strony British Airways na nieuczciwą stronę internetową. Za pomocą tej fałszywej strony, sprawcy zbierali dane klientów. W ramach tego incydentu naruszono dane osobowe około 500 000 klientów. Incydent rozpoczął się prawdopodobnie w czerwcu 2018 r.
Postępowanie ICO ustaliło, że wiele informacji zostało naruszonych, przez słabe środki bezpieczeństwa zastosowane przez spółkę, obejmujących logi, karty płatności oraz dane dotyczące rezerwowania podróży, jak również nazwiska oraz adresy.
Komisarz ds. Informacji Pani Elizabeth Denham powiedziała:
„Dane osobowe ludzi są właśnie takie – osobowe. Jeżeli organizacja nie ochroni ich przed utratą, uszkodzeniem lub kradzieżą, to oznacza to więcej niż niedogodność. To właśnie dlatego prawo jest jasne – jeżeli powierzono Ci dane osobowe musisz na nie uważać. Ci którzy nie będą, zmierzą się z nadzorem ze strony mojego urzędu, mającym na celu sprawdzenie, czy podjęto właściwe kroki w celu ochrony podstawowych praw prywatności.”
British Airways współpracowała z ICO w trakcie postępowania i ulepszyło swoje środki bezpieczeństwa, odkąd powyższe wydarzenia wyszły na światło dzienne. Spółka będzie miała teraz okazję przekazać ICO swoje stanowisko w odniesieniu do zaproponowanych ustaleń oraz sankcji.
ICO prowadziło postępowanie w sprawie jako organ wiodący w imieniu innych organów ochrony danych z UE. ICO kontaktował się również z innymi organami regulacyjnymi. Zgodnie z tzw. zasadą „one stop shop” zawartą w RODO, inne organy ochrony danych z UE, których obywateli to dotyczy, również będą mogły odnieść się do ustaleń ICO.
ICO uważnie rozważy stanowisko spółki oraz innych organów ochrony danych zanim podejmie ostateczną decyzję.
