spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

Rekordowa kara za naruszenie RODO dla British Airways

10 lipca 2019 4

183 mln funtów 204 mln euro 870 mln złotych

Tyle brytyjski organ zajmujący się ochroną danych osobowych (organ nadzorczy ds. ochrony danych osobowych (ICO)) zamierza nałożyć na linie lotnicze British Airways. Powód? Chodzi wyciek danych blisko pół miliona (na początku mówiono o 380 tys.) pasażerów przewoźnika. Zdarzenie miało miejsce między 21 sierpnia, a 5 września 2018 r. Jak dotąd jest to najwyższa kara związana z RODO.

kara RODO British Airways

Jak do tego doszło? Zbyt niski poziom zabezpieczeń

Sprawcy wstrzyknęli złośliwy kod JavaScript do bramki płatności na stronie internetowej i w aplikacji mobilnej British Airways. W efekcie przekierowywali klientów do podrobionej strony przewoźnika. Winą obciążono grupę cyberprzestępczą Magecart, która wcześniej identyczne posunięcie wykonała wobec firmy Tickermaster, która jest dystrybutorem biletów na koncerty i inne wydarzenia kulturowe. Oszuści wyłudzili od British Airways takie dane jak: numery kart kredytowych wraz z kodami weryfikacyjnymi CVV/CVC, które są potrzebne do realizacji płatności przez Internet, nazwiska, adresy, loginy, informacje o rezerwacji, a także planie podróży. ICO twierdzi, że do ataku nie musiałoby dojść, gdyby zabezpieczenia stosowane przez British Airways były lepsze.

Zdaniem ICO doszło do naruszenia art. 32 RODO.

§ Podstawa prawna

  1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
  • pseudonimizację, a także szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego czy też technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  1. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  2. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.
  3. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

 

Na szczęście linie British Airways szybko zareagowały na bezprawny proceder wykradania danych pasażerów. Do całej sprawy spółka podeszła odpowiedzialnie – poinformowała klientów o cyberincydencie, a także współpracowała z ICO. Nie znaleziono również dowodów na wykorzystanie wykradzionych danych w kolejnych oszustwach.

Czy zapłacą za cyberincydent? Kara RODO

Na razie wymiar kary to wstępne postanowienie ICO, a przed podjęciem ostatecznej decyzji odpowiednik polskiego PUODO wysłucha wyjaśnień spółki British Airways oraz opinii innych organów z Unii Europejskiej. Dla British Airways przedstawiona kara wynosi 1.5% globalnego obrotu z 2017 roku. Przypomnijmy, że maksymalna przewidywana przez RODO kara to 20 milionów euro lub też 4 proc. przychodów firmy. Ciekawostką jest również fakt, iż Facebook za aferę Cambridge Analytica zapłacił jedynie 500 tys. funtów. A skandal dotknął wtedy aż 87 mln osób.

Czy British Airways pobije kolejny rekord kar RODO? Przypomnijmy, że w Polsce najwyższa kara wyniosła jak dotąd blisko 1 mln zł i przy wspomnianych wyżej 870 mln – jest niewielka.

Chcesz być pewny, że twoja firma spełnia wszystkie wymogi RODO, a ponadto być zabezpieczony przed cyberprzestępcami?

Nasza firma oferuje kompleksowe usługi z zakresu ochrony danych osobowych.

Zapraszamy do kontaktu, tel. 68 411 40 00.

Komentarze (4)

Dodaj komentarz