Brytyjski organ właściwy do spraw ochrony danych osobowych (The Information Commissioner’s Office – ICO) nałożył karę na linię lotniczą Cathay Pacific Airways Limited. Kwota to 500 tysięcy funtów (prawie 2,5 miliona złotych). Głównym zarzutem dla przedsiębiorstwa z Hongkongu był brak zagwarantowania klientom odpowiedniego bezpieczeństwa danych osobowych.
Warto zwrócić uwagę, że linia lotnicza z Hongkongu sama zgłosiła się do brytyjskiego organu ochrony danych osobowych, po tym jak w marcu 2018 r. dowiedziała się, że jej bazy danych zostały poddane atakowi hackerskiemu. W ramach tego ataku próbowano złamać liczne hasła lub frazy z nadzieją na dostęp do zawartych tam informacji.
Wyciek danych
Brytyjski organ ustalił, że w okresie od października 2014 r. do maja 2018 r. w systemach komputerowych lotniczego giganta nie stosowano odpowiednich środków bezpieczeństwa. Skutkiem tego był wyciek danych osobowych prawie 10 milionów klientów przewoźnika z całego świata, z których ponad 100 tysięcy pochodziło z Wielkiej Brytanii. Katalog tych danych osobowych był dość szeroki i obejmował m.in. imiona, nazwiska, dane paszportowe, daty urodzenia, adresy pocztowe i e-mail, numery telefonów i historyczne informacje o odbytej podróży.
ICO stwierdził, że dostęp do systemów ukaranej linii lotniczej został uzyskany przez hakerów poprzez serwer podłączony do Internetu. Po uzyskaniu dostępu, na serwerze zostało zainstalowane złośliwe oprogramowanie do pozyskiwania danych. Podczas dochodzenia, ICO wykryło również szereg innych nieprawidłowości, które mogły wpłynąć na bezpieczeństwo danych. Kopie zapasowe bez hasła, nieaktualne systemy operacyjne, czy też nieodpowiednia ochrona antywirusowa to jedynie przykłady licznych uchybień przedsiębiorstwa.
ICO słusznie podkreślił w rozstrzygnięciu, że ludzie korzystający z usług tak ogromnego przewoźnika lotniczego powinni mieć pewność, że ich dane są bezpieczne. Naruszenie stwierdzone przez ICO było szczególnie niepokojące ze względu na liczbę podstawowych niedociągnięć w zakresie bezpieczeństwa informacji. Nie dziwi więc, że linia lotnicza stała się celem ataku hakerów.
Działania naprawcze
ICO zwrócił uwagę, że po wykryciu nieprawidłowości, ukarane przedsiębiorstwo niezwłocznie zwróciło się o pomoc do wiodącej firmy zajmującej się bezpieczeństwem cybernetycznym oraz poczyniło ogromne nakłady finansowe na zwiększenie bezpieczeństwa danych. Przewoźnik poinformował o sytuacji również osoby, których dane mogły być zagrożone w związku z wykrytymi nieprawidłowościami i kompleksowo współpracował z organem nadzorczym w trakcie postępowania. Okoliczności te nie stanowiły jednak okoliczności łagodzących. ICO wskazał, że linia lotnicza nie traktowała poważnie kwestii bezpieczeństwa danych osobowych swoich klientów, jak również naraziła ich na duże zagrożenia związane z tą sytuacją. Zdaniem regulatora, kara powinna być sygnałem ostrzegawczym dla innych administratorów.
Kara w maksymalnej wysokości
Ze względu na czas trwania stwierdzonych naruszeń (2014 r. – 2018 r.), ICO ocenił tę sprawę na podstawie przepisów brytyjskiej ustawy o ochronie danych osobowych z 1998 r., a nie RODO (obowiązuje od maja 2018 r.). Organ stwierdził poważne naruszenie przepisów tej ustawy i zdecydował o nałożeniu najwyższej z możliwych kar.
Nałożona kara jest stosunkowo niska w porównaniu z tą, która groziłaby przewoźnikowi na podstawie RODO. Mając na względzie wagę stwierdzonych naruszeń, można gdybać, że kara byłaby znacznie wyższa. Przedsiębiorca mógłby być wówczas ukarany grzywną w wysokości nawet 470 milionów funtów (ponad 2 miliardy złotych). Może on zatem mówić o sporym szczęściu, że kara za wykryte nieprawidłowości nie była nakładana na podstawie RODO.
Źródło:
