74 milliárd helyett csak 8 lett a British Airways bírsága
2020. október 16-án jelentette be a Brit Adatvédelmi Hatóság (ICO), hogy lezárta a British Airways (BA) 2018-as adatvédelmi incidensével kapcsolatos vizsgálatát, melynek lezárásaképp 20 millió font (~8 milliárd Ft) bírságot szabott ki a cégre. Ez a brit Hatóság történetének legnagyobb bírsága, azonban érdemes megemlíteni, hogy az eredetileg előirányzott bírság ennek több mint kilencszerese volt: 184 millió font. A 2020-as Covid-19 járvány és annak gazdasági következményei azonban ezt felülírták, különösen, mivel a légitársaságok az egyik legnagyobb elszenvedői a gazdasági visszaesésnek.
Az előzmények
Az ügy alapjául szolgáló kibertámadás még 2018-ban történt; augusztus 21. és szeptember 5. között a támadók 429.612 személy, köztük alkalmazottak és ügyfelek személyes adataihoz fértek hozzá. Az adatok között 244.000 ügyfél neve, címe, bankkártyaadatai és CVV számai szerepeltek. Ezen kívül 612 BA Executive Club fiókhoz tartozó adatok és számos alkalmazotti fiók adatainak biztonsága sérült.
Az ICO döntésében kiemelte, hogy nem a BA jött rá az incidensre, egy harmadik fél bejelentése alapján szereztek róla tudomást csaknem 2 hónappal a támadás kezdete után, ezt követően azonban a társaság azonnal értesítette a Hatóságot. Az ICO szerint a támadás megelőzhető lett volna megfelelő biztonsági intézkedések alkalmazásával, különösen:
• a belső alkalmazások hozzáférésének korlátozásával oly módon, hogy csak olyanok férhessenek hozzá bizonyos adatokhoz, akiknek ez a munkájuk elvégzéséhez szükséges,
• a belső informatikai rendszerek folyamatos tesztelésével, szimulált kibertámadások segítségével, illetve
• a felhasználói fiókok többfaktoros védelmével.
Ezen intézkedések meghozatala nem járt volna a BA részéről túlzott mértékű kiadásokkal, azoknak technikai akadályai nem voltak. A BA azóta egyébként jelentős fejlesztéseket hajtott végre informatikai rendszerein.
Az elmaradt gigabírság
A végleges döntés meghozatala meglehetősen sokat váratott magára, 2019-ben a Hatóság ugyanis egyszer már 184 millió font értékű bírsággal fenyegette a légitársaságot. Ezt követően majdnem egy évig semmi hír nem volt az üggyel kapcsolatban a sajtóban.
2020. első felében azonban már láthatók voltak a járvány gazdasági hatásai és elkezdtek olyan hírek terjedni, miszerint a Hatóság csökkenteni kívánja a kiszabott bírság mértékét, hogy ne mérjen teljesíthetetlen mértékű büntetést a Covid-19 miatt amúgyis veszélyben levő cégekre. Erre utalt az is, hogy néhány héttel ezelőtt a BA belső irataiból kiderült, hogy nagyjából 20 milliós bírságra számítanak. Érdemes kiemelni, hogy a tervezett 184 millió a BA 2018-es világszintű bevételének „csupán” 1,5%-a volt, holott a Rendelet alapján 4% is kiszabható lett volna.
Már akkor is tettünk róla említést, hogy egy adatvédelmi bírság ilyen nagy mértékű mérséklése sokak szerint aláássa a Hatóság tekintélyét, hiszen a 20 millió font egy British Airways méretű cégnél akkor sem jelent különösen magas kiadást, ha számításba vesszük a Covid-19 járvány miatt kiesett bevételeiket. Az ICO közleménye szerint a több mint 150 milliós mérséklés azután jött, hogy újra megvizsgálták az ügy minden elemét, végül pedig kisebb mértékben állapította meg a BA felelősségét. További 6 milliós engedményt kaptak az ügyben tett válaszlépéseik és 4 milliót a Covid-19 miatt.
A BA-val szemben tanúsított elnéző magatartás után jogosan merül fel a kérdés, hogyan fognak eljárni hasonló ügyekben, illetve mennyire tisztességes, hogy a cég anyagi helyzetére tekintettel ilyen mértékben csökkentik a bírságot. A másik, amelyben hasonló döntés várható, a Marriott ügye, hiszen a szállodaipart legalább annyira sújtja a járvány, mint a repülőtársaságokat. A két cég ügyét általában együtt szokás említeni, mivel ezek fenyegettek a legnagyobb bírsággal a GDPR alkalmazása alatt.
Látva azonban, hogy az ICO kesztyűs kézzel bánt a British Airways-zel, joggal feltételezhető, hogy a Marriott esete is hasonlóan fog végződni. Míg ezen cégeknek és részvényeseiknek jó hír az adatvédelmi bírság végső, csökkentett összege, azért azt is fontos megjegyezni, hogy a sértettek csoportosan próbálják majd perelni a céget, melyben a sérelemdíj ilyen magas számú érintett esetén szemmel is jól látható összeg lehet.