RODO zbiera żniwo. British Airways nowym rekordzistą pod względem wysokości kary
Brytyjski organ nadzorczy ds. ochrony danych osobowych (ICO) ukarał linie lotnicze British Airways rekordową grzywną w związku z utratą danych pasażerów. Spółka ma zapłacić 183 mln funtów brytyjskich, choć przysługuje jej jeszcze prawo do odwołania.
08.07.2019 | aktual.: 08.07.2019 18:16
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Atak na British Airways miał miejsce między 21 sierpnia a 5 września 2018 roku. Sprawcy wstrzyknęli złośliwy JavaScript do bramki płatności na stronie internetowej i w aplikacji mobilnej przewoźnika. Zanim ich wykryto, zdołali wykraść wrażliwe dane około 500 tys. osób. Łupem przestępców padły m.in.: numery kart kredytowych wraz z kodami weryfikacyjnymi CVV/CVC, nazwiska, adresy, informacje o rezerwacji i planie podróży, a także loginy.
Winą obarczono grupę cyberprzestępczą Magecart, która wcześniej identyczny manewr wykonała w stosunku do firmy Tickermaster, dystrybutora biletów na koncerty i inne wydarzenia kulturowe. Niemniej jednak żadnego crackera nie ujęto i nie padł ani jeden wyrok skazujący.
Ukarać postanowiono natomiast British Airways za zbyt niski poziom zabezpieczeń. – Dane ludzi właśnie takie są. Osobiste. Gdy organizacja nie chroni ich przed utratą, uszkodzeniem lub kradzieżą, jest to więcej niż niedogodność – tłumaczy komisarz ds. informacji, Elizabeth Denham. – Dlatego prawo jest jasne. Kiedy powierza się ci dane osobowe, musisz się o nie zatroszczyć. Ci, którzy tego nie zrobią, muszą się liczyć z kontrolą – dodaje Denham.
Najciekawsze jest jednak to, że ten "brak troski" ma kosztować lotniczego giganta aż 183 mln funtów. Dla odniesienia, Facebook za aferę Cambridge Analytica zapłacił zaledwie 500 tys. Skandal dotknął 87 mln osób, ale obowiązujące wówczas prawo, ustanowione w 1998 roku, nie pozwalało na wyższą karę. Dzisiaj sytuacja w Wielkiej Brytanii wygląda zgoła odmiennie.
Na mocy aktualnych przepisów organ nadzorczy może ukarać firmę grzywną w wysokości maksymalnie 4 proc. jej światowego obrotu. Kara dla BA wynosi 1,5 proc. przychodów z roku 2017. Spółka ma 28 dni na odwołanie, ale brytyjscy dziennikarze są zgodni, że większą część rzeczonej sumy i tak będzie musiała zapłacić. To rekord w całej historii RODO.