British Airways z 200-milijonsko kaznijo zaradi kršitev GDPR
Britanska agencija ICO (Information Commissioner's Office), ekvivalent informacijskega pooblaščenca, je najavila, da namerava uveljaviti kazen za letalsko družno British Airways v višini kar 183,89 milijonov funtov oziroma okoli 200 milijonov evrov zaradi kršitev zasebnosti podatkov med lanskoletnim vdorom hekerjev v spletno storitev za rezervacije letalskih vozovnic.
Družba British Airways je bila v lanskem letu žrtev napada uveljavljene hekerske skupine, med drugim odgovorne za vdore v druge velike sisteme (na primer Ticketmaster UK). Ta je prišla do občutljivih osebnih podatkov (uporabniška imena in gesla, plačilne informacije, naslovi, podatki o rezervacijah) več kot 380.000 letalskih potnikov, podatki pa so bili ranljivi kar 14 dni, preden so odkrili vdor.
Po analizi incidenta se je agencija ICO odločila za izredno strogo kazen, ker je British Airways prikazal izredno slabo skrb za varnost v svoji spletni storitvi za stranke, sploh po nastopu regulative GDPR.
200 milijonov evrov je brez dvoma visoka kazen, ki tudi za British Airways ni kar tako. Predstavlja okoli 1,5% letnega prometa družbe, obenem pa je to približna vrednost novega letala Boeing 747-800. Zdi se, da se je agencija ICO določila za tako kazen tudi zaradi predhodnih kritik javnosti, da so njihove dosedanje kazni smešne za korporacije, ki letno obračajo milijardne zneske. Spomnimo se samo, da je ICO podjetje Facebook kaznovala za simboličnih 500.000 funtov, kar se je mnogim zdelo bolj kot posmeh, kot pa resen ukrep.
British Airways se je takoj odzval na napoved o kazni in zanikal, da je družba v čemerkoli ravnala z namerami za prevaro ali oškodovanje svojih strank. To je sicer najbrž res, toda to še ne pomeni, da zaradi tega niso odgovorni za varovanje podatkov, ki so jim jih zaupale stranke. Ukrep ICO bo najbrž povzročil nov val strahov v družbah, ki ponujajo spletne storitve, vendar mnogi menijo, da je to morda edina pot, da se začne določbe GDPR uveljavljati tudi v praksi.