A Koronavírus meghiúsítja az adatvédelmi bírságokat?
A Brit Adatvédelmi Hatóság (ICO) 2019 nyarán két komolyabb bírság kiszabását is bejelentette. A British Airways-re 183,39 millió, a Marriott International szállodaláncra pedig 99 millió Font bírságot szándékoztak kiszabni a sajtóközlemények alapján. Mind a két esetben átfogó vizsgálatot folytattak le a GDPR szabályainak megsértése miatt, mely végeredményeként az eddigi legsúlyosabb adatvédelmi bírságok kiosztására is sor kerülhetett volna (a Facebookra az FTC által kiszabott bírságnak bár voltak adatkezelési vetületei, azt nem egy adatvédelmi hatóság folytatta le). Ebben a tekintetben az angol jogrend egyébként más, mint a magyar, ugyanis a bírság kiosztását megelőzi egy aktus, mely során az ICO közli az adatkezelővel a végső álláspontját, mely azonban még nem jelenti ipso facto a bírság kiszabását, ezt követően is van védekezési lehetősége a cégeknek.
A British Airways esetében megállapították, hogy a nem megfelelő biztonsági intézkedések révén valósult meg a jogszabálysértés, mivel a felhasználók adatait a hackerek egy csaló webhelyre tudták átirányítani és ezen keresztül szerezték meg közel 500.000 utas adatait. Az incidens valószínűsíthetően 2018. júniusától szeptemberig állt fenn. A vizsgálat kimutatta, hogy személyazonosítók, bejelentkezési és bankkártya adatok, valamint a foglalásokkal és utazásokkal kapcsolatos személyes adatok is kompromittálódtak.
A Marriott esetében szintén a nem megfelelő adatvédelmi intézkedések miatt következett be az adatvédelmi incidens. A 339 millió vendég személyes adatait tartalmazó nyilvántartást 2018. novemberében fedeztek fel az interneten. Az ICO vizsgálata arra jutott, hogy a probléma amiatt alakult ki, hogy amikor a Marriott International 2016-ban megvásárolta a Starwood szállodaláncot, melynek már akkor is adatbiztonsági problémái voltak, nem volt megfelelő adatvédelmi átvilágítás. Mivel az akvizícióhoz kapcsolódó átvilágítás során az IT rendszerek vizsgálata nem történt meg elég alaposan, ezért az adatszivárgást végül csak 2018-ban vették észre. A Starwood rendszereihez már 2014 óta hozzáférhettek a hackerek.
Elizabeth Denham adatvédelmi biztos mind a két ügyben nyilatkozott, és elmondta, hogy a személyes adatok a személyek tulajdonát képzik, éppen ezért mindent meg kell tenni azok védelmének érdekében, amit a GDPR világosan megkövetel, és az ICO ezt be is fogja hajtani az adatkezelőkön.
A világszerte kialakult járvány-helyzet alapján azonban felmerült a kérdés, hogy mi lesz az ICO által „beígért” bírságokkal, amik lassan egy éve lógnak a levegőben?
A sajtóirodájuk nemrég bejelentette, hogy az eljárások továbbra is folyamatban vannak az ügyekben, azonban hozzátették, hogy a járványhelyzetre való tekintettel a legtöbb végrehajtási cselekményt felfüggesztették, illetve az adatkezelőknek is több időt hagynak az eljárásban a válaszokra, illetve a hibák javítására.
Nemrég kiadott útmutatásában az ICO részletes tájékoztatást adott a joghatósága alá tartozó adatkezelőknek a hatósági eljárások lefolytatása tekintetében a járvány miatt bekövetkezett változásokról. Ebben az is szerepel, hogy a bírságok végső soron akár csökkenthetők is, mivel „a bírságok kiszabása előtt figyelembe veszik annak gazdasági hatását és azt, hogy anyagilag mennyire terheli meg a bírság az adatkezelőt. “A jelenlegi körülmények között ez valószínűleg azt jelenti, hogy csökken a bírság mértéke.”
Mindenképp érdekes kijelentés ez, és még érdekesebb lesz látni, hogy az ICO valóban hogyan fog reagálni a koronvírus járvány által különösen sújtott két cég megváltozott helyzetére, ugyanis két olyan szereplőről van szó, akik a járvány által leginkább érintett területen tevékenykednek.
A GDPR a bírsági kiszabásának szempontjait a 83. cikk (2) bekezdésében sorolja fel, melyek között egyébként lehet olyanokat találni, melyekre alapozva ilyen esetben a bírság mértéke módosulhat akár az adatkezelőre nézve pozitívan is, azonban tekintettel az incidensben érintettek kiugróan magas számára, időtartamára, illetve arra, hogy dúsgazdag cégekről van szó, akik nem foglalkoztak évekig az adatbiztonsággal, talán nem lenne rossz, ha az ICO csinálna végre egy (két) elrettentő példát.
A British Airways nyilatkozata szerint, ha büntetést szabnak ki rájuk, akkor mindent megtesznek annak érdekében, hogy megvédjék magukat, figyelembe véve minden jogorvoslati lehetőséget, ha szükséges.
