GDPR και παραβιάσεις: Στις αρχές Σεπτεμβρίου του 2018, η British Airways είχε ανακοινώσει ότι επλήγη από μια κυβερνοεπίθεση. Στα τέλη Αυγούστου και στις αρχές Σεπτεμβρίου είχαν κλαπεί οικονομικά δεδομένα. Αυτά, μπορεί να αφορούσαν 380.000 τραπεζικές κάρτες πελατών της αεροπορικής εταιρείας.
Οι βαριές συνέπειες της μη συμμόρφωσης με τον κανονισμό περί Προστασίας Προσωπικών Δεδομένων (GDPR) ξεκίνησαν να εφαρμόζονται.
Η αεροπορική εταιρία British Airways ανακοίνωσε την λήψη προστίμου 183 εκατομμυρίων στερλινών (204 εκατομμυρίων ευρώ). Η επιβολή του έγινε από τον βρετανικό οργανισμό προστασίας προσωπικών δεδομένων ICO. O λόγος του προστίμου, είχε να κάνει με την κλοπή δεδομένων από εκατοντάδες χιλιάδες πελάτες τον Σεπτέμβριο του 2018.
Το ποσό του προστίμου αντιπροσωπεύει το 1,5% του ετήσιου κύκλου εργασιών της British Airways το 2017.
Τι είχε συμβεί
Στις αρχές Σεπτεμβρίου του 2018, η British Airways είχε ανακοινώσει ότι επλήγη από μια κυβερνοεπίθεση. Αυτή προήλθε μετά από ένα κενό ασφάλειας στο σύστημα πληροφορικής. Στα τέλη Αυγούστου και στις αρχές Σεπτεμβρίου είχαν κλαπεί οικονομικά δεδομένα. Σύμφωνα με την εταιρεία, μπορεί να αφορούσαν 380.000 τραπεζικές κάρτες πελατών της αεροπορικής εταιρείας.
Συγκεκριμένα, το περιστατικό αυτό αφορούσε εν μέρει στην εκτροπή των επισκεπτών της ιστοσελίδας της British Airways προς ιστότοπο που σχετιζόταν με απάτες.
Μέσω αυτού του ιστότοπου, τα στοιχεία των πελατών της British Airways κατέληξαν στα χέρια κακόβουλων τρίτων. Τα προσωπικά δεδομένα περίπου 500.000 πελατών της B.A. διέρρευσαν στο περιστατικό, το οποίο πιστεύεται ότι ξεκίνησε τον Ιούνιο του 2018.
Στο τέλος του Οκτωβρίου της ίδιας χρονιάς, η B.A. διευκρίνισε ότι 244.000 πελάτες είχαν πράγματι πληγεί. Οι πληροφορίες που είχαν κλαπεί περιλάμβαναν το ονοματεπώνυμο, τη διεύθυνση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου πελατών και κυρίως τα δεδομένα τραπεζικών καρτών, δηλαδή τον αριθμό, την ημερομηνία λήξης και τον τριψήφιο κωδικό ασφαλείας.
Επίσης η British Airways συμπλήρωσε ότι και από άλλους 185.000 πελάτες είχαν κλαπεί τα οικονομικά δεδομένα μεταξύ της 21ης Απριλίου και της 28ης Απριλίου. Αυτό είχε συμβεί δηλαδή, πολύ πιο νωρίς από τη γνωστή μέχρι τότε ημερομηνία της κυβερνοεπίθεσης.
GDPR και παραβιάσεις: Η διαπίστωση της ICO
Αυτό που διαπιστώθηκε μετά από την έρευνα της ICO, ήταν πως οι ρυθμίσεις ασφαλείας της ιστοσελίδας της εταιρείας ήταν ανεπαρκείς. Στοιχεία σύνδεσης, κάρτες πληρωμών και λεπτομέρειες κράτησης ταξιδιού, καθώς και πληροφορίες σχετικά με το όνομα και τη διεύθυνση, ήταν σε κίνδυνο.
Η Επίτροπος της ICO Elizabeth Denham δήλωσε: «Τα προσωπικά δεδομένα των ανθρώπων είναι ακριβώς αυτό – προσωπικά. Όταν ένας οργανισμός δεν τα προστατεύει από απώλεια, ζημιά ή κλοπή, αυτό συνεπάγεται κάτι περισσότερο από μια απλή ταλαιπωρία. Αυτός είναι ο λόγος για τον οποίο ο νόμος είναι σαφής: όταν σας παρέχονται προσωπικά δεδομένα, πρέπει να τα προσέχετε».
Η B.A. συνεργάστηκε με την έρευνα του ICO. Έκτοτε έχει βελτιώσει τις ρυθμίσεις ασφαλείας της, καθώς τα γεγονότα αυτά ήρθαν στο φως.
Σε σχέση με τα προτεινόμενα συμπεράσματα και τις κυρώσεις, η εταιρεία θα έχει τώρα τη δυνατότητα να υποβάλλει τις παρατηρήσεις της προς την ICO.
Η ICO ως επικεφαλής εποπτική αρχή, ερευνά την υπόθεση αυτή εξ ονόματος άλλων αρχών προστασίας δεδομένων κρατών μελών της ΕΕ.
Σχετικά με το «one stop shop» και σύμφωνα με τις διατάξεις του GDPR, οι αρχές προστασίας δεδομένων στην ΕΕ, των οποίων οι κάτοικοι έχουν επηρεαστεί, θα έχουν επίσης την ευκαιρία να σχολιάσουν τα πορίσματα της ICO.
Προτού λάβει την τελική της απόφαση, η ICO θα εξετάσει προσεκτικά τις παρατηρήσεις της Β.Α. και των άλλων ενδιαφερόμενων αρχών προστασίας δεδομένων