Brytyjski organ ochrony danych osobowych Information Commissioner’s Office (ICO) poinformował o możliwości nałożenia kary na linie lotnicze British Airways (BA). Kwota 183 milionów funtów będzie dotychczasowym rekordem jeśli chodzi o wysokość kary z RODO. Oczywiście jeśli rzeczywiście dojdzie do ukarania przewoźnika, a nie jest to pewne.
Niezależnie od tego wysokość pierwszej w Polsce kary z RODO wydaje się być śmieszna, wobec proponowanej dla BA.
Dlaczego British Airways może dostać karę z RODO?
We wrześniu 2018 British Airways zgłosiła do ICO incydent ochrony danych osobowych. Linia poinformowała o tym incydencie również swoich klientów, umieszczając komunikat na stronie internetowej. Między 21 sierpnia, a 5 września tegoż roku wyciekły dane klientów linii lotniczej. Incydent dotyczył klientów, którzy korzystali ze strony rezerwacji lub aplikacji mobilnej linii lotniczej. Jak ustaliło ICO, wyciek mógł dotyczyć danych 500 tys. osób, w tym danych dotyczących dokonywanych przez nie płatności.
Przestępcy uzyskali dostęp do strony internetowej przewoźnika i umieścili na niej szkodliwy kod, którego zadaniem było przejmowanie danych osób dokonujących transakcji.
183 miliony funtów – czy to nie jest zbyt wysoka kara?
Nie da się ukryć, że kwota zwala z nóg. Giganci tacy jak Google, czy Facebook otrzymali o wiele niższe kary. Ponadto działania British Airways nie były zamierzone. Linia ewidentnie padła ofiarą przestępców.
Ponadto, po wykryciu naruszenia przewoźnik zachował się poprawnie. Poinformował swoich klientów o naruszeniu. Informacja jest bardzo obszerna, daleko wychodząc poza ramy RODO. Osobiście sam chciałbym być w ten sposób poinformowany, gdyby dotyczyło to moich danych.
BA poinformowała również ICO i poprawnie współpracowała w czasie wyjaśniania sprawy.
ICO jednak ma swoje argumenty na poparcie kwoty potencjalnej kary.
Dlaczego ICO chce wymierzyć tak wysoką karę z RODO?
Według brytyjskiego organu nadzorczego British Airways zastosowało zbyt słabe zabezpieczenia, łamiąc tym samy zapisy art. 32 RODO mówiącego o bezpieczeństwie przetwarzania.
Tego już nie jesteśmy w stanie ocenić. BA i ICO maja na ten temat odmienne zdanie, a my jako obserwujący sprawę nieco z boku, nie znamy szczegółów.
Rekordowa kara z RODO i jej potencjalne konsekwencje
Do tej pory narodowe organy ochrony danych osobowych nie wymierzały kar, które tak działają na wyobraźnię, jak potencjalna kara RODO nałożona na BA.
Wysokie kary dotyczyły przy tym głównie sytuacji, które można uznać za naruszanie RODO przez administratora, bez udziału osób trzecich.
Linie British Airways padły ofiarą przestępcy. Już ucierpiała na tym wizerunkowo, co zapewne przełoży się na finanse przewoźnika.
Nie twierdzę, że BA nie powinna być ukarana finansowo. Natomiast mam wątpliwości, czy wysokość kary jest adekwatna.
Obawiam się, że jeśli kara w tej kwocie zostanie nałożona na przewoźnika, to może wywołać niepożądane skutki.
Administratorzy u których zaistnieje podobna sytuacja, mogą rozważać „zamiatania sprawy pod dywan”, co z pewnością jest gorszym rozwiązaniem dla osób, których dane dotyczą.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.