Tylko tydzień wystarczył, aby dwie firmy: British Airways (99 mln £) i Marriott (282 mln £) zubożały o łączną kwotę 283 milionów funtów z powodu naruszenia postanowień ogólnego rozporządzenia o ochronie danych osobowych (GDPR), co jest bezprecedensowym przypadkiem egzekwowania przez brytyjski urząd ochrony danych osobowych (Information Commissiner’s Office, ICO) postanowień GDPR.
Dla przypomnienia, polski urząd ochrony danych osobowych nałożył dotychczas dość symboliczne (w porównaniu z jego brytyjskim odpowiednikiem) kary za naruszenie rozporządzenia GDPR: 943 tysiące złotych (BISNODE) oraz 56 tysięcy złotych (jeden ze związków sportowych).
ICO wydało zawiadomienie o zamiarze ukarania British Airways rekordową kwotą ponad 1,3 miliarda PLN (po przeliczeniu złotówki), która byłaby największą do tej pory ze względu na naruszenie postanowień GDPR i jednocześnie największą grzywną, która zostałaby nałożoną przez ICO w całej historii istnienia urzędu. Grzywna dotyczy naruszenia danych osobowych około 500 000 klientów. Sam incydent dotyczył ruchu użytkowników na stronie internetowej British Airways, który został przekierowany na fałszywą stronę internetową, na której dane użytkowników zostały następnie wykradzione przez hakerów. ICO w dochodzeniu wykazało, że z powodu zaniedbań i niewystarczających procedur bezpieczeństwa w British Airways szereg danych osobowych użytkowników strony zostało wykradzionych w tym takich jak: dane logowania, kart płatniczych, szczegóły lotu i rezerwacji oraz dane kontaktowych.
Nałożone grzywny służyć mają jako straszak i wskazywać na powagę, z jaką organy regulacyjne traktują incydenty bezpieczeństwa, które przekładają się na konsekwencji finansowe. Na obecnym etapie nie jest jasne, w jaki sposób ICO obliczyła proponowaną grzywnę, która wynosi około 1,5 % światowych obrotów British Airways (lub globalnych przychodów) w ubiegłym roku. Zgodnie bowiem z GDPR, organ może nałożyć karę do 20 mln € lub w przypadku przedsiębiorstwa do 4% całkowitego światowego obrotu z poprzedniego roku w zależności od tego, która kwota jest wyższa. Gdyby ICO wymierzył maksymalną możliwą grzywnę w wysokości 4 % obrotu British Airways, mogliby oni otrzymać karę w wysokości około 490 milionów euro. Jak widać British Airways zostało przykładnie ukarane przez ICO.
Amerykańska grupa hotelowa Marriott to druga firma, która musi zapłacić grzywnę ICO ze względu na naruszenie postanowień GDPR. Grupa hotelowa, która w zeszłym roku spowodowała naruszenie bezpieczeństwa danych swoich klientów, może ponieść karę w wysokości ponad 420 mln PLN. Incydent bezpieczeństwa polegał na ujawnieniu danych osobowych około 339 milionów klientów w skali całego świata. Chociaż naruszenie zostało zgłoszone do ICO dopiero w 2018 r., sama sytuacja dotyczyła systemów informatycznych hoteli Starwood z 2014 r. Co prawda Marriott przejął Starwood dopiero dwa lata później bo w 2016 r., lecz nie odkrył naruszenia danych osobowych klientów przez następne dwa lata. Dochodzenie przeprowadzone przez ICO wykazało, że Marriott nie dochował należytej staranności, gdy nabywał Starwood i nie zapewnił bezpieczeństwa swoich systemów informatycznych. W oświadczeniu Information Commissioner Elizabeth Denham podkreśliła, że Marriott jest odpowiedzialny za przeprowadzenie starannego due dilligence podczas dokonywania transakcji przejęcia oraz za odpowiednie zadbanie o bezpieczeństwo przejmowanych danych i odpowiedni sposób ich ochrony. To dobra lekcja dla firm i jednocześnie wskazówka, że obowiązki w zakresie prywatności i cyberbezpieczeństwa znacznie wykraczają poza obszar zarządzanie własnymi danymi osobowymi firmy i obejmują także te, w których organizacja może przetwarzać lub nabywać dane osobowe – zwłaszcza w kontekście fuzji i przejęć.
Wymierzone wobec British Airways i Marriott sankcje nie są jeszcze ostateczne, gdyż obie firmy są uprawnione do zgłaszania swoich zastrzeżeń, podobnie jak inne europejskie organy ochrony danych osobowych. ICO zwraca uwagę, że gdy przejął wiodącą rolę w obu postępowaniach zgodnie z zasadą punktu kompleksowej obsługi (one stop shop) GDPR, która umożliwia wyznaczenie wiodącego organu ochrony danych, organy ochrony danych innych państw UE, których obywatele zostali pokrzywdzeni w wyniku naruszenia przez te firmy danych osobowych, również będą miały szansę złożyć ewentualne zastrzeżenia do ustaleń ICO.
Opisane przypadki wskazują na surowe sankcje pieniężne, które są coraz częściej nakładane przez organy regulacyjne za naruszenia przepisów dotyczących prywatności i bezpieczeństwa, a także odzwierciedlają pogląd, że organy czuwające nad odpowiednim przestrzeganiem prawa do prywatności i cyberbezpieczeństwa powinny mieć odpowiednie środki do ochrony tych praw.
Jeśli chcesz otrzymać więcej informacji z tego zakresu skontaktuj się z nami na office@ipsolegal.pl