Autoritatea de supraveghere britanică a anunțat că intenționează să aplice o sancțiune cu amendă în valoare de 183.390.000 Lire operatorului British Airways pentru o breșa de securitate în care au fost compromise datele personale peste 500.000 de clienți, provocând o încălcare a prevederilor GDPR.
Amenda propusă pentru incalcarea preveederilor GDPR, se referă la un incident cibernetic notificat de către British Airways în septembrie 2018.
Acest incident a implicat, în parte, traficul utilizatorilor către site-ul British Airways fiind deturnat către un site fraudulos. Prin acest site fals, detaliile despre clienți au fost recoltate de atacatori.
Datele personale de aproximativ 500.000 de clienți au fost compromise în acest incident, despre care se crede că a început în iunie 2018.
Investigația autorității de supraveghere a constatat că o varietate de informații a fost compromisă de aranjamentele de securitate scăzute la companie, inclusiv datele de conectare, cartea de plată și detaliile de rezervare a călătoriilor, precum și informații despre nume și adresă.
Comisarul pentru informații, Elizabeth Denham, a declarat:
Datele personale ale oamenilor sunt doar cele personale. Atunci când o organizație nu o protejează de pierderi, daune sau furturi, este mai mult decât un neplăcut. De aceea, legea este clară – când vi se încredințează date cu caracter personal, trebuie să aveți grijă de ea. Cei care nu se vor preocupa de biroul meu pentru a verifica dacă au luat măsurile necesare pentru a proteja drepturile fundamentale ale vieții private. „
British Airways a cooperat la ancheta autorității de supraveghere și a făcut îmbunătățiri ale măsurilor de securitate de la apariția acestor evenimente.
Autoritatea de supraveghere investighează acest caz în calitate de autoritate de supraveghere și în numele altor autorități din UE în domeniul protecției datelor. De asemenea, au fost implicate și alte autorități de reglementare.
În conformitate cu prevederile GDPR „one stop shop”, autoritățile de protecție a datelor din UE ale căror rezidenți au fost afectați vor avea, de asemenea, șansa de a contesta concluziile autorităților de supraveghere britanice.
Pentru a gestiona corespunzător o breșă sau un incident de securitate, vă recomandăm cursul Catedrei Internaționale Onorifice Jean Bart, Incidente de securitate GDPR & Cybersecurity
Autoritatea de supraveghere britanică, ICO, va lua în considerare cu atenție declarațiile făcute de companie și celelalte autorități de protecție a datelor înainte de a lua o decizie finală.