British Airways оштрафована на рекордные 183 млн фунтов за нарушение GDPR, которое привело к утечке данных 500 000 пользователей

Британская ICO оштрафовала British Airways на рекордные 183 млн фунтов стерлингов за нарушение GDPR, что привело к утечке данных от 500 000 пользователей

Оштрафована компания British Airways и ее материнская компания International Airlines Group (IAG) в размере 183,39 млн фунтов стерлингов (230 млн долларов США) в связи с нарушением данных, имевшее место в прошлом году это затронуло колоссальные 500 000 клиентов, просматривающих и бронирующих билеты онлайн. В ходе расследования ICO заявила, что обнаружила, что «плохая система безопасности скомпрометировала различную информацию, включая данные для входа в систему, платежную карту и данные о бронировании поездки, а также информацию об имени и адресе».

Штраф – 1,5% от общей выручки BA за год, закончившийся 31 декабря 2018 года, – самый высокий за всю историю, который ICO наложил на компанию за нарушение данных (предыдущий «рекордсмен» Facebook был оштрафован на £ 500,000 прошлый год для сравнения).

И это важно по другой причине: это показывает, что утечка данных может быть не просто обязанностью по связям с общественностью, разрушающей доверие потребителей к организации, но и финансовой ответственностью. IAG в настоящее время переживает волатильные торги в Лондоне, акции которых в настоящий момент снижаются на 1,5%.

В заявление на рынок два лидера IAG защитили компанию и заявили, что ее собственное расследование показало, что на счетах, связанных с кражей, не было обнаружено никаких доказательств мошеннической деятельности (хотя, как вы, возможно, знаете, данные о нарушениях могут не всегда использоваться там, где был украден).

«Мы удивлены и разочарованы этой первоначальной находкой ICO», – сказал Алекс Круз, председатель правления и главный исполнительный директор . «British Airways быстро отреагировали на преступное деяние с целью кражи данных клиентов. Мы не нашли никаких доказательств мошенничества / мошеннических действий на счетах, связанных с кражей. Мы приносим извинения нашим клиентам за любые неудобства, вызванные этим событием ».



Вилли Уолш, исполнительный директор International Airlines Group, добавил в своем комментарии, что «British Airways будет представлять в ICO информацию о предлагаемом штрафе. Мы намерены предпринять все необходимые шаги для энергичной защиты позиции авиакомпании, включая подачу любых необходимых апелляций ».

Степень, в которой компании будут нести ответственность за эти виды нарушений, будет гораздо более прозрачной в будущем: объявление ICO является частью новой директивы по раскрытию подробностей о ее штрафах и расследованиях для общественности.

«Личные данные людей – это просто личные данные», – заявила комиссар по информации Элизабет Денхем. «Когда организация не может защитить ее от потери, повреждения или кражи, это больше, чем неудобство. Вот почему закон ясен – когда вам доверяют личные данные, вы должны следить за ними. Те, кто не будет подвергаться проверке со стороны моего офиса, чтобы проверить, что они приняли соответствующие меры для защиты основных прав на неприкосновенность частной жизни ».

Сегодня утром в заявлении ICO говорится, что штраф связан с нарушениями Общего регламента защиты данных (), который вступил в силу в прошлом году до нарушения. Более конкретно, инцидент, связанный вредоносное ПО на BA.com это перенаправило пользовательский трафик на мошеннический сайт, где злоумышленники впоследствии собирали данные о клиентах.

BA сообщила ICO об инциденте в сентябре, но, как полагают, нарушение началось в июне. С тех пор ICO заявила, что British Airways «сотрудничала с расследованием ICO и внесла улучшения в свои меры безопасности с тех пор, как стали известны эти события». Но следует отметить, что даже до этого нарушения другие примеры компании, относящейся к защите данных слегка, (Теперь, кажется, Б. усвоил свой урок трудным путем.)

Из заявления, сделанного сегодня IAG, звучит так, что BA решит подать апелляцию на штраф и общее решение.

Несмотря на то, что существует множество вопросительных знаков о том, как Великобритания будет взаимодействовать с остальной Европой в отношении нормативных актов, таких как этот, после того, как она покинет ЕС, сейчас она работает совместно с большой группой.

ICO заявляет, что в данном случае она была «ведущим надзорным органом от имени других органов по защите данных государств-членов ЕС», поддерживая в процессе связь с другими регуляторами. Это также означает, что эти органы власти, где его жители также пострадали от нарушения, также будут иметь возможность внести свой вклад в решение до его окончательного принятия.