Jelentősen csökkenhet a British Airways és a Marriott rekord bírsága
Ahogy májusban beszámoltunk róla, a Brit Adatvédelmi Hatóság (ICO) súlyos bírság kiszabását tervezte a British Airways-re (183 millió font) és a Marriott hotelláncra (99 millió font), azonban végösszege a Covid-19 járvány miatt bizonytalanná vált. Különösen igaz ez a British Airways-re, mivel légitársaságként az utóbbi idők egyik legrosszabb pénzügyi időszakát zárták a járvány miatt.
A BA anyacége, az IAG július 31-én tette közzé az első hathónapos jelentését, melyben az állt, hogy a cég legjobb becslése szerint a kiszabásra váró bírság mértéke mindössze 22 millió font lesz.
Megoszlanak a vélemények arról, hogy ez mit jelenthet. Egyesek szerint a Hatóság túlságosan kesztyűs kézzel bánik a légitársasággal és ezzel aláássa a GDPR tekintélyét, míg más elemzők szerint a bírság így is több tízmillió fontra fog rúgni, és ez önmagában is erős üzenet. Megint mások szerint az is meglepő, hogy egyáltalán szó van még bírságról – figyelembe véve az incidens óta eltelt időt és a járvány okozta károkat, az sem lenne meglepő, ha az ügy tényleges bírság nélkül maradna.
Az előzményekről részletesen:
British Airways
A BA még 2018-ban keveredett adatvédelmi incidensbe, amikor hackerek kb. 500.000 utas adatait szerezték meg egy támadás során. Az ügyben azok az utasok érintettek, akik a cég online felületén foglaltak maguknak helyet a BA valamelyik járatára. A kiszivárgott adatok között volt az utasok neve, útiterve, számlázási címe, e-mail címe, illetve a fizetésre használt bankkártya adatai, beleértve a CCV-kódot is. Utóbbi talán a legaggasztóbb, hiszen ezeknek a birtokában a támadók vásárlásokat hajthatnak végre a kártyatulajdonos tudta nélkül. Kérdéses az is, hogy a CCV például miért nem kizárólag a banki rendszerben került tárolásra.
A BA ígéretet tett rá, hogy kárpótolja minden utasát, aki az adatszivárgás miatt anyagi kárt szenved, azonban megjegyezte, hogy egy ilyen visszaélésről sem tudni. A légitársaság emellett biztosította utasait, hogy útlevéllel kapcsolatos adatok nem kerültek a támadók birtokába. Ezzel egyidőben a BA felkereste minden, az incidensben érintett utasát és figyelmeztette az esetleges veszélyekre, illetve javasolta új bankkártya kérését.
Attól persze, hogy az incidensben érintetteket nem érte kézzelfogható anyagi kár, sérelemdíj igényt támaszthatnak az adatkezelővel szemben, melyben a vagyonilag nem összegszerűsíthető káraik megtérítését kérhetik.
A támadást utólagos elemzések alapján úgy hajtották végre, hogy a foglalási oldalon futó Java alapú rendszerbe illesztettek be extra sorokat, amely az ügyfelek adatait egy harmadik oldalra továbbította. A rendszerben levő sebezhetőség már régóta megvolt a rendszerben, melyet a légitáraság 2012 óta nem frissített. Szakértők szerint az oldal azóta sem rendelkezik megfelelő védelemmel.
A brit Hatóság a fentiekre való tekintettel helyezte kilátásba a rekordméretű bírságot, mely a cég 2017-es globális bevételének 1,5%-a volt (a GDPR által megengedett maximális bírság a teljes bevétel 4%-a). Azonban, mint korábban már említettük, a jelenlegi gazdasági helyzet miatt nem kizárt, hogy a tényleges bírság ennek a töredéke lesz.
Marriott
A Marriott International volt a másik nagy hal, aki az ICO horgára akadt. A hotellánc informatikai rendszeréből mintegy 339 millió ügyféladat szivárgott ki 2014 és 2018 között. A Starwood hotellánc informatikai rendszere 2014-ben már sebezhető volt – a szakértők ekkorra teszik az incidens kezdetét. A Marriott 2016-ban vásárolta fel a láncot, azonban a sebezhetőségre még 2018-ig nem derült fény. Az ICO álláspontja szerint a Marriott nem járt el kellő gondossággal, amikor a Starwood rendszerét átvette és nem hozta meg a szükséges szervezeti intézkedéseket a rá bízott adatok védelmére.
Az itt ellopott adatok között volt az ügyfelek neve, címe, telefonszáma, e-mail címe, banki és útlevéllel kapcsolatos adatai is. Az incidensben érintett leányvállalatok a W Hotels, a Sheraton, és a Le Meridien szállodaláncok voltak.
A korábbiak figyelembevételével mondta ki a Hatóság aziránti szándékát, hogy 99 millió fontra bírságolja a szállodaláncot az adatvédelmi mulasztások miatt. Azóta a ICO jelentése szerint a Marriott együttműködött velük az adatbiztonsági rendszereik javításában. A bírság tényleges kiszabása után a Marriottnak még lesz alkalma fellebbezni, de tekintettel az azóta eltelt időre, illetve, hogy a szállodák is a Covid-19 járvány egyik legnagyobb vesztesei voltak, a British Airways-hez hasonlóan kérdéses a bírság végső összege, már ha egyáltalán kiszabásra kerül.
