British Airways может заплатить рекордный штраф за нарушение регламента GDPR

Беспрецедентный на данный момент штраф в £183.39 млн. может заплатить британская авиакомпания British Airways в результате прошлогоднего инцидента с нарушением действующего с мая 2018 г. общеевропейского регламента по защите персональных данных (General Data Protection Regulation - GDPR). Это примерно 1,5% общемирового оборота авиакомпании за отчетный год-2017. Сумма огромная, но все же не максимальная, так как штрафы, предусмотренные за нарушение GDPR, могут достигать и 4% от общемирового оборота.

Как и положено, данным случаем занималось Управление уполномоченного по вопросам информации (Information Commissioner’s Office, ICO). Несмотря на то, что все могло начаться еще в июне, авиакомпания уведомила ICO только в сентябре. Речь там шла о перенаправлении пользовательских данных с официального сайта British Airways на сторонний мошеннический сайт, с помощью которого хакеры собирали персональные данные клиентов. Данные более 500 тысяч клиентов авиакомпании в результате оказались скомпрометированы.

Лишь в сентябре British Airways предала публичной огласке тот факт, что хакеры похитили данные примерно 380 тыс. клиентов с ее сайта и мобильных приложений в период с 21 августа, на пике сезона летних отпусков. Впоследствии, уже в октябре, авиакомпания также сообщила в новостях, что довела до сведения еще 77 тысяч держателей платежных карт (которым ранее об этом не сообщалось), что их ФИО, электронные адреса и платежные реквизиты (включая номера карт, даты окончания действия и CVV) могли быть похищены, плюс еще 108 тыс. держателей карточек – без CVV. Потенциально это могло сказаться на клиентах авиакомпании, которые бронировали авиаперелеты с помощью кредитных карт в период с 21 апреля по 28 июля прошлого года.

Расследование Управления уполномоченного по вопросам информации обнаружило возможную компрометацию множества данных по причине слабых средств обеспечения информационной безопасности. Глава ведомства Элизабет Дэнэм (Elizabeth Denham) сказала по этому поводу: “Персональные данные людей - на то и персональные. Если организация не может защитить их от утраты, вреда или кражи, то это больше чем просто неудобство. Вот почему закон (гласит) четко: если вам доверили персональные данные, вы должны за ними присматривать. Те, кто этого не делает, столкнется с расследованием моего офиса, дабы убедиться, что они предприняли все надлежащие шаги для защиты фундаментальных принципов частного права”.

Управление отмечает, что компания British Airways сотрудничала с ними в расследовании и даже улучшила свои внутренние механизмы информационной безопасности, с тех пор как случился тот инцидент. Компании теперь предоставят возможность выступить в ICO с презентацией своих ответных действий, по итогам чего может быть принято решение о смягчении наказания.

Впрочем, может быть и не принято. Названная на данный момент огромная сумма очень расстраивает руководство компании в лице ее председателя и исполнительного директора Алекса Круза (Alex Cruz), который сказал: “British Airways среагировала быстро на криминальное действие с кражей клиентских данных. Мы не нашли никаких свидетельств хищений/мошенничества по счетам, связанным с кражей”.

По материалам: Accountancy Daily