RODO zbiera żniwo. British Airways nowym rekordzistą pod względem wysokości kary

Brytyjski organ nadzorczy ds. ochrony danych osobowych (ICO) ukarał linie lotnicze British Airways rekordową grzywną w związku z utratą danych pasażerów. Spółka ma zapłacić 183 mln funtów brytyjskich, choć przysługuje jej jeszcze prawo do odwołania.

Fot. Materiały prasowe
Fot. Materiały prasowe
Piotr Urbaniak

08.07.2019 | aktual.: 08.07.2019 18:16

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Atak na British Airways miał miejsce między 21 sierpnia a 5 września 2018 roku. Sprawcy wstrzyknęli złośliwy JavaScript do bramki płatności na stronie internetowej i w aplikacji mobilnej przewoźnika. Zanim ich wykryto, zdołali wykraść wrażliwe dane około 500 tys. osób. Łupem przestępców padły m.in.: numery kart kredytowych wraz z kodami weryfikacyjnymi CVV/CVC, nazwiska, adresy, informacje o rezerwacji i planie podróży, a także loginy.

Winą obarczono grupę cyberprzestępczą Magecart, która wcześniej identyczny manewr wykonała w stosunku do firmy Tickermaster, dystrybutora biletów na koncerty i inne wydarzenia kulturowe. Niemniej jednak żadnego crackera nie ujęto i nie padł ani jeden wyrok skazujący.

Ukarać postanowiono natomiast British Airways za zbyt niski poziom zabezpieczeń. – Dane ludzi właśnie takie są. Osobiste. Gdy organizacja nie chroni ich przed utratą, uszkodzeniem lub kradzieżą, jest to więcej niż niedogodność – tłumaczy komisarz ds. informacji, Elizabeth Denham. – Dlatego prawo jest jasne. Kiedy powierza się ci dane osobowe, musisz się o nie zatroszczyć. Ci, którzy tego nie zrobią, muszą się liczyć z kontrolą – dodaje Denham.

Najciekawsze jest jednak to, że ten "brak troski" ma kosztować lotniczego giganta aż 183 mln funtów. Dla odniesienia, Facebook za aferę Cambridge Analytica zapłacił zaledwie 500 tys. Skandal dotknął 87 mln osób, ale obowiązujące wówczas prawo, ustanowione w 1998 roku, nie pozwalało na wyższą karę. Dzisiaj sytuacja w Wielkiej Brytanii wygląda zgoła odmiennie.

Na mocy aktualnych przepisów organ nadzorczy może ukarać firmę grzywną w wysokości maksymalnie 4 proc. jej światowego obrotu. Kara dla BA wynosi 1,5 proc. przychodów z roku 2017. Spółka ma 28 dni na odwołanie, ale brytyjscy dziennikarze są zgodni, że większą część rzeczonej sumy i tak będzie musiała zapłacić. To rekord w całej historii RODO.

Programy

Zobacz więcej
Komentarze (40)