GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Linie lotnicze British Airways nie uniknęły wysokiej kary

Samolot linii lotniczych British Airways lecących po niebie

Linie lotnicze British Airways nie uniknęły wysokiej kary

Brytyjski organ ds. ochrony danych osobowych (The Information Commissioner’s Office – ICO) nałożył gigantyczną karę na przewoźnika lotniczego British Airways. Kwota co prawda robi duże wrażenie – 20 milionów funtów (ponad 100 milionów złotych) – niemniej nie można zapominać, że regulator początkowo zapowiadał ukaranie giganta na kwotę znacznie wyższą – przeszło 183 milionów funtów (blisko miliard złotych). Brytyjski organ nadzorczy zarzucił przewoźnikowi liczne nieprawidłowości związane z przetwarzaniem danych osobowych, w tym w szczególności w kontekście ich właściwego zabezpieczenia.

Kontrola u administratora

W toku przeprowadzonego postępowania kontrolnego ICO ustalił, że ukarana linia lotnicza przetwarzała znaczną ilość danych osobowych swoich klientów bez wdrożenia odpowiednich środków zabezpieczenia. Taka sytuacja powodowała znaczne ryzyko nieuprawnionego dostępu do danych osobowych, do którego rzeczywiście doszło w czerwcu 2018 r. Wówczas brytyjski przewoźnik padł ofiarą dużego cyberataku. Niestety wiedzę o tym zdarzeniu uzyskał on dopiero po dwóch miesiącach od jego zaistnienia i dopiero wtedy powiadomił o tym brytyjskiego regulatora.

Po przeprowadzeniu kontroli ICO stwierdził, że brytyjski przewoźnik lotniczy powinien wyeliminować nieprawidłowości w zakresie zabezpieczenia danych osobowych swoich pasażerów jeszcze przed incydentem z 2018 r., co w naturalny sposób mogłoby zapobiec temu zdarzeniu.

Poważne naruszenie u narodowego przewoźnika

Cyberatak

Przypomnijmy, w wyniku przeprowadzonego cyberataku osoba trzecia uzyskała dostęp do danych osobowych prawie 500 000 klientów i pracowników linii lotniczych British Airways. Wśród wykradzionych danych osobowych znajdowały się takie informacje jak m.in. imiona, nazwiska, adresy zamieszkania, numery kart płatniczych i numery CVV (kod zabezpieczający umieszczony na karcie płatniczej) 244 000 klientów giganta. Dodatkowo, w niepowołane ręce mogły wpaść również nazwy użytkowników i hasła do kont pracowników giganta, a także nazwy użytkowników i numery PIN do 612 kont British Airways Executive Club (programu lojalnościowego brytyjskiego przewoźnika).

Linia lotnicza ukarana przez ICO

Kara miała być znacznie wyższa

Warto zauważyć, że jest to dotychczas najwyższa kara nałożona przez brytyjski organ nadzorczy w związku ze stwierdzeniem naruszenia przepisów o ochronie danych osobowych. Regulator wskazał, że decyzję o nałożeniu tak wysokiej kary uzasadniało m.in. przeświadczenie klientów giganta, że powierzając mu swoje dane osobowe będą one zabezpieczone w odpowiedni sposób. ICO podkreślił, że nie do przyjęcia jest fakt, że ukarany podmiot nie podjął stosownych działań po wykryciu nieprawidłowości, a naruszenie ochrony danych osobowych, którego się dopuścił miało realny wpływ na sytuację jego klientów. Kara pieniężna w znacznej wysokości – w ocenie ICO – ma zmobilizować innych administratorów do podjęcia szybkich i zdecydowanych działań, mających na celu odpowiednie zabezpieczenie przetwarzanych danych osobowych.

Co ciekawe, po przeprowadzeniu przedmiotowego postępowania kontrolnego, ICO poinformował w czerwcu 2019 r. o zamiarze ukarania British Airways karą w wysokości ponad 183 milionów funtów (ponad 920 milionów złotych) (Więcej o tym pisaliśmy TUTAJ – https://gdpr.pl/aktualnosci/brytyjski-organ-zamierza-nalozyc-ponad-850-milionow-zlotych-kary-na-british-airways). Organ nadzorczy ostatecznie zdecydował się znacznie obniżyć tę kwotę, z jednej strony biorąc pod uwagę dodatkowe wyjaśnienia przedłożone przez administratora, z drugiej natomiast uwzględniając wpływ pandemii wirusa COVID-19 na sytuację ekonomiczną przewoźnika.

ICO otacza specjalną ochroną dane osobowe dzieci

Postępowanie prowadzone w ramach procedury współpracy

Do naruszeń przez ukaranego przewoźnika przepisów o ochronie danych osobowych doszło w czerwcu 2018 r., a brytyjski organ, jako organ członka Unii Europejskiej, prowadził w tej sprawie postępowanie transgraniczne w imieniu wszystkich regulatorów z UE, będąc wiodącym organem nadzorczym. Oznacza to, że podejmowane w toku postępowania czynności oraz zastosowane sankcje zostały skonsultowane z innymi unijnymi organami ds. ochrony danych osobowych w ramach mechanizmu współpracy (art. 60 RODO).

Źródło:

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/

Penalty Notice ICO:

https://ico.org.uk/media/action-weve-taken/mpns/2618421/ba-penalty-20201016.pdf

Zapraszamy na szkolenie :

„Postępowanie z naruszeniami ochrony danych i kontrole Prezesa UODO” w formie on-line,

Szczegóły szkolenia znajdują się  tutaj