Управление комиссара по информации Великобритании (ICO) объявило о намерении оштрафовать авиакомпанию British Airways на 183 миллиона фунтов стерлингов (около 230 миллионов долларов) за нарушения Общего регламента ЕС о защите данных (GDPR), которые привели к масштабной утечке данных клиентов компании, пишет The Verge.
Поводом для назначения крупнейшего в истории ICO штрафа послужил инцидент, произошедший осенью прошлого года. Тогда хакеры заразили сайт и приложения British Airways вредоносным кодом и смогли похитить данные 380 тыс. клиентов, включая сведения об их банковских картах.
Как отметила глава ICO Элизабет Денхем, потеря персональных данных является "не просто неудобством", и компании должны принимать необходимые меры для защиты права клиентов на неприкосновенность частной жизни.
"Мы удивлены и разочарованы решением ICO. British Airways оперативно отреагировала на преступление, связанное с кражей данных клиентов. Мы не нашли никаких доказательств мошенничества со счетами, связанными с этим инцидентом", – заявил исполнительный директор British Airways Алекс Круз. В свою очередь исполнительный директор холдинга International Airlines Group, который владеет British Airways, Вилли Уолш заявил, что компания подаст апелляцию, пишет TJ. На это у компании есть 28 дней.
Напомним, GDPR обязывает компании, которые используют персональные данные лиц, находящихся на территории ЕС, хранить эти данные в обезличенном и зашифрованном виде, обеспечивать их защиту от утечек, не передавать третьим лицам и информировать граждан и органы власти о любой утечке информации в течение 72 часов с момента ее обнаружения.
Регламент также гласит, что компании, чья деятельность подпадает под требования GDPR, должны предоставлять клиентам понятную информацию о правилах обработки их данных, брать согласие на обработку данных, а также предоставлять возможность отказаться от передачи данных без ущерба для совершения действий. Нарушителям требований GDPR грозит штраф в размере до 20 млн евро или 4% годового оборота. Штраф, который грозит британской авиакомпании составляет 1,5% от ее мирового оборота за 2017 год.
В январе этого года Национальная комиссия по информации и гражданским свободам (CNIL) Франции оштрафовала компанию Google на 50 млн евро за нарушение требований GDPR – Google стала первой крупной технологической компанией, оштрафованной за несоблюдение Регламента. Поводом для штрафа послужили две жалобы, поданные некоммерческими организациями None Of Your Business’ (noyb) и La Quadrature du Net. Претензии к Google, повлекшие за собой штраф, связаны с настройкой пользователями новых Android-устройств.