Az Egyesült Királyság adatvédelmi hivatala sajtóhírként adta közre, hogy alapos vizsgálatot követően 183,39 millió £ adatvédelmi bírság kiszabására készül a British Airways légitársasággal szemben a GDPR megsértéséért. A több mint 66 milliárd forintnak megfelelő összeg az eddig kiszabott legnagyobb adatvédelmi bírság az európai általános adatvédelmi rendelet alkalmazása óta.

A légitársaság eredeti beszámolója alapján a körülbelül 380.000 tranzakciót érintő adatvédelmi incidensre 2018. szeptember 6-án derült fény. Az ICO frissen lezárult vizsgálata szerint azonban a helyzet a kezdeti feltételezéseknél sokkal borúsabb, az érintettek száma 500.000 körüli lehet, és az adatlopás már 2018 júniusában megkezdődhetett.

Az incidensről

A British Airways kibertámadás áldozata lett, a csalók eltérítették a vállalat honlapjára érkező forgalmat, és egy adathalász oldalon keresztül lopták el az ügyfél- és fizetési adatokat. A biztonsági problémát szeptember elején el tudták hárítani, és értesítették az illetékes hatóságokat, így a rendőrséget és az ICO-t is.

A cég által alkalmazott nem megfelelő és alacsony szintű biztonsági megoldások miatt bejelentkezési adatok, bankkártyaadatok, fizetési információk, utazási és foglalási adatok, valamint az ügyfelek neve és címe is érintett volt az adatlopásban.

A vizsgálat eredménye

A vállalat szorosan együttműködött az adatvédelmi hatósággal, sikerült kijavítani az incidenshez vezető problémákat és hiányosságokat. Mivel a légitársaság több uniós ország állampolgárainak adatait is kezelte, az "egyablakos" GDPR ügyintézés során az ICO végezte el a vezető hatóság feladatait, de természetesen együttműködött a többi EU tagország adatvédelmi hatóságával is.

Az eddigi legmagasabb GDPR bírság

Az ICO 183,39 millió angol fontos bírság kiszabására készül. A több mint 66 milliárd forintos büntetés az eddig kiszabott legmagasabb adatvédelmi bírság, amellyel a GDPR alkalmazása óta találkozhattunk. A maximálisan kiszabható összeg az adatvédelmi incidens súlyossága miatt a cég éves világszintű árbevételének 4 százaléka is lehetne. A British Airways esetén a megállapítható legmagasabb büntetés akár az 500 millió fontos felső határt is elérhette volna.

Fontos tudni, hogy az adatvédelmi bírságok kiszabása nem teljesen úgy működik az Egyesült Királyságban, mint Magyarországon. A vizsgálat lezárását követően a hatóság először megállapítja a tervezett bírság összegét. Innentől kezdve 28 nap áll rendelkezésre a fellebbezésre. A BBC híre szerint a British Airwayst birtokló IAG ügyvezetője élni kíván a lehetőséggel, és fellebbezni fog. A légitársaság vezetője meglepődött, és csalódott az ICO döntése miatt.

A hivatal adatvédelmi biztosa azonban határozottan áll az ügyhöz, és hangsúlyozta, hogy amikor egy vállalat mulasztása miatt az emberek személyes adatai elvesznek, sérülnek, vagy ellopják őket, az több, mint kényelmetlenség. A törvény világos: Ha valakit megbíznak a személyes adatok kezelésére, annak gondoskodnia is kell azokról.

Az eredeti idézet:

“People’s personal data is just that – personal. When an organisation fails to protect it from loss, damage or theft it is more than an inconvenience. That’s why the law is clear – when you are entrusted with personal data you must look after it. Those that don’t will face scrutiny from my office to check they have taken appropriate steps to protect fundamental privacy rights.”

- Information Commissioner - Elizabeth Denham

Egy biztos, a tervezett bírság összegéből a British Airways az elérhető Airbus árlista alapján majdnem 3 darab olyan Airbus A318-100-as repülőgépet tudna vásárolni, amelyet jelenleg is üzemeltet a New-York-ba tartó útjai során.