GDPR: Αντιμέτωπη με πρόστιμο 205 εκατομμυρίων ευρώ η British Airways για παραβίαση δεδομένων

Ελλιπή μέτρα ασφαλείας στην ιστοσελίδα της οδήγησαν στη διαρροή δεδομένων εκατοντάδων χιλιάδων πελατών της

08/07/2019

09/07/2019

Μετά από εκτεταμένες έρευνες, η Αρχή Προστασίας Δεδομένων του Ηνωμένου Βασιλείου (ICO) ανακοίνωσε την πρόθεσή της να επιβάλει πρόστιμο ύψους 183,39 εκατ. λιρών (περίπου 204 εκατ.ευρώ) για παραβάσεις του Κανονισμού για την προστασία δεδομένων (GDPR).

Το πρόστιμο αφορά σε περιστατικό παραβίασης δεδομένων στον κυβερνοχώρο, για το οποίο η ICO από την British Airways τον Σεπτέμβριο του 2018.

Το περιστατικό αυτό αφορούσε εν μέρει στην εκτροπή των επισκεπτών της ιστοσελίδας της British Airways προς ιστότοπο που σχετιζόταν με απάτες.

Διαβάστε επίσης: GDPR: Ελλάδα και Σλοβενία οι δύο τελευταίες χώρες χωρίς νέο Νόμο για τα προσωπικά δεδομένα

Μέσω αυτού του ιστότοπου, τα στοιχεία των πελατών της British Airways κατέληξαν στα χέρια κακόβουλων τρίτων, με τα προσωπικά δεδομένα περίπου 500.000 πελατών της BA να διαρρέουν στο περιστατικό, το οποίο πιστεύεται ότι ξεκίνησε τον Ιούνιο του 2018.

Η έρευνα της ICO διαπίστωσε ότι οι ανεπαρκείς ρυθμίσεις ασφαλείας της ιστοσελίδας στην εταιρεία, έθεταν σε κίνδυνο διάφορες πληροφορίες όπως στοιχεία σύνδεσης, κάρτες πληρωμών και λεπτομέρειες κράτησης ταξιδιού, καθώς και πληροφορίες σχετικά με το όνομα και τη διεύθυνση.

Η Επίτροπος Elizabeth Denham δήλωσε: «Τα προσωπικά δεδομένα των ανθρώπων είναι ακριβώς αυτό - προσωπικά. Όταν ένας οργανισμός δεν τα προστατεύει από απώλεια, ζημιά ή κλοπή, αυτό συνεπάγεται κάτι περισσότερο από μια απλή ταλαιπωρία. Αυτός είναι ο λόγος για τον οποίο ο νόμος είναι σαφής: όταν σας παρέχονται προσωπικά δεδομένα, πρέπει να τα προσέχετε».

Η British Airways συνεργάστηκε με την έρευνα του ICO και έχει βελτιώσει τις ρυθμίσεις ασφαλείας της, καθώς τα γεγονότα αυτά ήρθαν στο φως.

Η εταιρεία θα έχει τώρα τη δυνατότητα να υποβάλλει τις παρατηρήσεις της προς την ICO σε σχέση με τα προτεινόμενα συμπεράσματα και τις κυρώσεις.

Η ICO ερευνά την υπόθεση αυτή ως επικεφαλής εποπτική αρχή, εξ ονόματος άλλων αρχών προστασίας δεδομένων κρατών μελών της ΕΕ.

Σύμφωνα με τις διατάξεις του GDPR σχετικά με το «one stop shop», οι αρχές προστασίας δεδομένων στην ΕΕ, των οποίων οι κάτοικοι έχουν επηρεαστεί, θα έχουν επίσης την ευκαιρία να σχολιάσουν τα πορίσματα της ICO.

Η Αρχή θα εξετάσει προσεκτικά τις παρατηρήσεις της εταιρείας και των άλλων ενδιαφερόμενων αρχών προστασίας δεδομένων, προτού λάβει την τελική της απόφαση.