Wkrótce brytyjski odpowiednik Urzędu Ochrony Danych Osobowych -  Information Commissioner's Office, w skrócie ICO - może nałożyć jedną z najwyższych kar w krótkiej historii stosowania RODO. ICO chce ukarać brytyjskie linie lotnicze - narodowego przewoźnika -  za incydent zgłoszony we wrześniu 2018 r. Na skutek błędu w zabezpieczeniach systemu informatycznego, hakerzy przekierowali ruch użytkowników serwisu British Airways (BA) na fałszywą stronę. W efekcie wyciekły dane osobowe, np. adresowe, rezerwacyjne około 500 tys. klientów, w tym dotyczące ok. 380 tys. kart płatniczych. IAG (International Airlines Group), która jest właścicielem BA, zapewniła w poniedziałek, że skala wycieku była niższa. Zaznaczyła też, że będzie składać oświadczenia do ICO w sprawie wysokości grzywny.

Zobacz: Środki ochrony prawnej przysługujące w razie naruszenia ochrony danych >

 


Duży wyciek, duża kara

Według ICO winę za wyciek to ponoszą linie, które źle zabezpieczyły swój serwis. ICO zapowiedziało, że kara którą chce nałożyć to 183,39 milionów funtów, około 870 mln zł. Nie tylko prawnicy nie mają wątpliwości, że to wysoka kara. Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, zauważa, że  to jedna z najwyższych kar, o jakich słyszał względem tej wielkości przedsiębiorcy. Michał Jaworski, członek zarządu Microsoft, wyliczył, że to 1,5 proc. rocznego obrotu BA za 2017 rok. Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński, zauważa, że to i tak mniej niż maksymalna kara. Ta może wynieść 4 proc. rocznego obrotu.

W poniedziałek firma IAG w oficjalnym komunikacie  wyraziła zaskoczenie oraz rozczarowanie "odkryciem" ICO, a dokładnie wysokością potencjalnej kary. Alex Cruz, prezes i dyrektor generalny British Airways, podkreśla, że linie szybko zareagowały na kradzież danych klientów, współpracowały z ICO, a przede wszystkim, nie znaleziono żadnych dowodów na dokonanie oszustw na kontach powiązanych z kradzieżą. I zapowiedział, że IAG będzie składać oświadczenia do ICO w związku z propnowaną grzywną. 

W kolejnym komunikacie IAG doprecyzował, że atak hakerski na BA dotknął mniejszą liczbę klientów - 244 tys. tys. Potencjalnie zagrożeni klienci to tylko ci, którzy dokonywali rezerwacji w od 21 kwietnia do 28 lipca 2018 r. i korzystali z karty płatniczej. 

ICO przyznał, że linie lotnicze współpracowały podczas postępowania. Elizabeth Denham, prezes ICO, podkreśliła jednak, że dane osobowe ludzi są po prostu  - osobiste. - Gdy organizacja nie chroni ich przed utratą, uszkodzeniem lub kradzieżą, jest to więcej niż kłopot. Dlatego prawo jest jasne - kiedy przetwarzasz dane, musisz na nie uważać i je chronić. Dlatego podczas kontroli, sprawdzamy, czy zostały podjęte odpowiednie kroki w celu ochrony podstawowego prawa do prywatności - oświadczyła Elizabeth Denham.

Zobacz: Zasady zapewniania bezpieczeństwa danych osobowych w firmie >

Tylko 50 mln euro dla Googla

Z danych Komisji Europejskiej wynika, że we wszystkich krajach UE od 25 maja 2018 r. do 25 maja 2019 r. za naruszenie RODO nałożono 110 kar, w tym 75 w Niemczech i dwie w Polsce. Do tej pory największą karę nałożył francuski odpowiednik Urzędu Ochrony Danych Osobowych na Google. Gigant ma zapłacić 50 mln euro za utrudnianie dostępu do informacji o zasadach przetwarzania danych, zwłaszcza tych służących do wyświetlania spersonalizowanych reklam. Z kolei prezes polskiego UODO nałożył 220 tys. euro kary - spółka Bisnode ma zapłacić za to, że nie wysłała do każdej osoby prowadzącej działalność gospodarczą informacji o tym, że przetwarza jej dane oraz 13 tys. euro dla związku sportowego za ujawnienie danych 585 sędziów. Listę kar upublicznionych przez poszczególne organy można znaleźć na stronie www.enforcementtracker.com. Obecnie są na niej 58 kary.

 


Poznaj procedury:

Wnoszenie skargi na decyzję Prezesa Urzędu Ochrony Danych Osobowych do sądu administracyjnego >

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych >

Realizacja wniosku o usunięcie danych osobowych („prawo do bycia zapomnianym”) >

Postępowanie w przypadku sprzeciwu wobec przetwarzania danych osobowych >