Hľadaj

Spoločnosti British Airways hrozí obrovská pokuta. Neochránila údaje o cestujúcich

Podnikanie Poslať

Leteckej spoločnosti British Airways hrozí za porušenie ochrany osobných údajov pokuta až vo výške 183 miliónov libier (204,4 milióna eur). V prípade, ak bude pokuta uložená, pôjde o doteraz najvyššiu pokutu uloženú podľa GDPR. Jej výška predstavuje až 1,5 % obratu British Airways za rok 2017.

image

Foto: Pixabay.com

Krádež údajov

V septembri 2018 spoločnosť British Airways oznámila britským úradom, že na jej webové stránky zaútočili hekeri a ukradli osobné údaje z platobných kariet až 380-tisíc zákazníkov. Neskorší odhad dokonca hovorí o tom, že tento incident mohol ohroziť až 500-tisíc zákazníkov. Útočníci vytvorili podvodnú stránku, na ktorú klientov British Airways odklonili a pomocou nej získali údaje o zákazníkoch leteckého prepravcu. Útok sa pravdepodobne začal v júni 2018.

Možné udelenie pokuty avizuje britský Úrad komisára pre informácie (ICO). „Vyšetrovanie ICO odhalilo, že v dôsledku slabého zabezpečenia systémov spoločnosti sa útočníkom podarilo získať množstvo údajov vrátane mena, prihlasovacieho mena, adresy, informácií o detailoch zakúpenej cesty, o platobnej karte,“ hovorí ICO. Úrad zároveň uviedol, že spoločnosť pri vyšetrovaní spolupracuje. „Spoločnosť British Airways po odhalení tejto udalosti vylepšila bezpečnosť svojich systémov a teraz bude môcť zaujať stanovisko k zisteniam a aj pokute,“ hovorí úrad.

Toto je druh incidentu, ktorý musí spoločnosť riešiť podľa pravidiel, ktoré stanovuje GDPR. Nariadenie vyžaduje bezodkladne informovať dotknuté osoby o takých incidentoch,  ktoré by mohli viesť k vysokému riziku pre práva zákazníkov. Zároveň je nevyhnutné oznámiť dozornému orgánu každé porušenie ochrany osobných údajov v lehote 72 hodín. Firma uviedla, že zákazníkov začala informovať o vzniknutom bezpečnostnom incidente nasledujúci deň po odhalení udalosti. Spoločnosť po útoku odporučila zákazníkom, aby kontaktovali svoje banky. 

Sankcie podľa GDPR 

GDPR je pri ukladaní sankcií prísnejšie ako predchádzajúce právne predpisy na ochranu osobných údajov. Umožňuje uloženie pokuty až do výšky 20 miliónov eur alebo 4% celkového svetového ročného obratu za predchádzajúci účtovný rok. V tomto prípade sa výška pokuty určuje práve na základe ročného obratu spoločnosti. 

Zástupcovia British Airways sa s výškou pokuty nestotožňujú. Podľa ich názoru išlo o veľmi sofistikovaný útok, po ktorého odhalení uskutočnili primerané opatrenia na zníženie závažnosti nepriaznivých následkov. Zároveň uviedli, že na účtoch zákazníkov, ktoré boli obeťou kybernetického útoku nezaznamenali žiadne dôkazy o podvodoch či podvodných aktivitách.

Následky bezpečnostného incidentu sú aj bez uloženia pokuty nemalé. V krátkom čase po oznámení incidentu totiž klesli akcie vlastníka British Airways až o 3,5 %.

 

Sprísnenie sankcií

Pokuta, ktorá British Airways hrozí je oveľa vyššia ako sankcia, ktorú dostala v októbri minulého roka sociálna sieť Facebook. Za bezpečnostný incident, ktorý sa týkal práve tejto sociálnej siete, úrady vyrúbili pokutu vo výške 500-tisíc libier. Tento incident bol podobne závažný ako udalosť, ktorá sa odohrala v British Airways, no v prípade spoločnosti Facebook sa ešte neuplatňovali sprísnené pravidlá GDPR. Porušenia pravidiel ochrany osobných údajov sa totiž udiali medzi rokmi 2007 a 2014. Polmiliónová pokuta bola maximom, ktoré mohol ICO udeliť.

Sankcia za porušenie ochrany osobných údajov podľa GDPR zasiahla v januári tohto roku aj spoločnosť Google. Výška pokuty v tomto prípade dosahovala sumu 50 miliónov eur.

Pokiaľ by sa v prípade bezpečnostného incidentu British Airways uplatnili najprísnejšie pravidlá GDPR na uloženie sankcií, pokuta by dosahovala až sumu 488 miliónov libier. Jej výška by bola určená ako 4% z ročného obratu za rok 2017, ktorý bol zhruba 12,2 miliardy libier.

Je zrejmé, že európske dozorné orgány na ochranu osobných údajov jednoznačne zvyšujú pokuty za porušenie ochrany údajov. Zaistenie ochrany osobných údajov zákazníkov a jej neustála aktualizácia a preskúmavanie by tak mali byť jednou z hlavných povinností všetkých spoločností.

Potrebujete licenciu na výkon finančného sprostredkovania ?
Rýchlosťou blesku vám poskytneme odborné a komplexné služby.

Kľúčové slová

logo
Prečítajte si tiež:
1.8.2019 Natália Hučková

Nahrávanie hovorov? Výslovný súhlas je potrebný vždy

Uskutočňovanie hlasových záznamov z telefonických rozhovorov je v súčasnosti oveľa jednoduchšie ako kedykoľvek predtým. Nahrávanie je ...

23.5.2019 Natália Hučková

Minulý rok bol prípravou na GDPR, tento môže byť ťažší

V máji uplynie rok od okamihu, keď nariadenie GDPR nadobudlo svoju účinnosť. O ochrane osobných údajov sa však začalo hovoriť oveľa viac ...

18.4.2019 Jana Čipková

Mýtus o GDPR #4: Žiadosti o prenos osobných údajov klienta musí finančný agent vždy vyhovieť

Právo na prenosnosť osobných údajov patrí medzi práva dotknutých osôb, ktoré zaviedlo až nariadenie GDPR. Vzhľadom na to, že mnohí ...

11.4.2019 Natália Hučková

Firmy robia pri ochrane osobných údajov množstvo chýb

Zohľadniť GDPR v rámci činnosti spoločností nie je vôbec jednoduché. Preskúmať, kde všade dochádza k spracúvaniu osobných údajov, je ...

27.2.2019 Natália Hučková

Kontroly ochrany osobných údajov čakajú v tomto roku najmä verejnú správu

Úrad na ochranu osobných údajov SR (ÚOOÚ) informoval, na aké subjekty si posvieti v roku 2019. Kontrolám sa nevyhnú najmä subjekty verejnej ...

19.2.2019 Redakcia FinReport

Weby, e-shopy a GDPR v podaní Natálie Hučkovej

V utorok sa na pôde Slovenskej technickej univerzity (STU) uskutočnil workshop pre študentov s názvom „Navrhuj weby a e-shopy v súlade s ...

14.2.2019 Jana Čipková

Kto môže byť zodpovednou osobou podľa GDPR

Od nadobudnutia účinnosti nariadenia GDPR ubehlo takmer trištvrte roka, no množstvo spoločností stále nerozumie aký je prínos jej ...

13.2.2019 Redakcia FinReport

Natália Hučková spíkerkou workshopu o GDPR v online prostredí

Softvérová spoločnosť Positive v spolupráci so Študentským parlamentom elektrotechnikov a informatikov STU organizuje v utorok 19. februára o ...

12.2.2019 Redakcia FinReport

Taxify môže mať problémy s GDPR, vodiči mali klientom posielať súkromné správy

Taxify čelí v posledných dňoch vlne kritiky za zneužívanie telefónnych čísel vodičmi spolupracujúcimi s Taxify. Niektoré klientky mali ...

8.2.2019 Natália Hučková

Pozor na podozrivý certifikát GDPR

S účinnosťou nariadenia GDPR sa zároveň aj výrazne zvýšil počet poskytovateľov služieb súvisiacich s ochranou osobných údajov. Výber ...

7.2.2019 Natália Hučková

Firmy si pýtajú súhlas na spracovanie údajov aj vtedy, keď nemusia, upozorňuje ÚOOÚ

Pri príležitosti Medzinárodného dňa ochrany osobných údajov usporiadal Úrad na ochranu osobných údajov SR (ÚOOÚ) odborný workshop, ...

4.2.2019 Natália Hučková

Mýty o GDPR #3: Klient má za každých okolností právo na vymazanie údajov z databáz

Po nadobudnutí účinnosti Nariadenia GDPR sa ukázalo, že práve právo na vymazanie, respektíve „právo na zabudnutie“, bude jedným ...

PHP Developer - študentská brigáda PHP Developer - študentská brigáda
PHP Developer províznych systémov PHP Developer províznych systémov
PHP Developer poistných agregátorov PHP Developer poistných agregátorov
PHP Developer FinTech cloudových riešení PHP Developer FinTech cloudových riešení

Najčítanejšie

  1. 1.
    Grécko znovu začalo s deportáciami migrantov do Turecka, tábory trojnásobne prevýšili svoju kapacitu
  2. 2.
    Španielsko pošle Maroku milióny eur na ochranu hraníc, chce zastaviť prílev migrantov do Európy
  3. 3.
    Epidémia eboly v Kongu postihuje stále nové oblasti, vyžiadala si už takmer 2 000 obetí
  4. 4.
    Brazílsky prezident sa ocitol pod tlakom, na boj s požiarom v Amazónii zvažuje nasadiť armádu
  5. 5.
    Vydali zatykač na lídra srbskej menšiny, je podozrivý v prípade vraždy kosovského politika