GDPR Flash News: ICO imposing a heavy fine of £20m on British Airways for data breach

Date: November 3, 2020

By Themistoklis Giannakopoulos & Lydia Kakourou

This Flash News discusses the decision of the Information Commissioner’s Office (ICO) imposing a fine of £20m on British Airways (BA) for data breach as a result of a cyber-attack and subsequent access to personal and financial data of more than 400,000 of its customers. In its decision, ICO highlights the importance of implementation by enterprises of appropriate technical and organizational measures to prevent a potential risk such as a cyber-attack.

Below you may find the full article in Greek

 

Πρόστιμο στην British Airways για παραβίαση δεδομένων προσωπικού χαρακτήρα

Των Θεμιστοκλή Γιαννακόπουλου & Λυδία Κακούρου 

Η Βρετανική Αρχή Προστασίας Προσωπικών Δεδομένων (Information Commissioner’s Office-ICO) επέβαλε πρόστιμο ύψους 20 εκατ. στερλινών στην British Airways, για τον λόγο ότι η εταιρία απέτυχε να προστατέψει, με την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, τα προσωπικά δεδομένα των πελατών της από παράνομη ή μη εξουσιοδοτημένη επεξεργασία. Η αποτυχία λήψης των απαραίτητων και κατάλληλων μέτρων, κατά παράβαση των αρχών ακεραιότητας, εμπιστευτικότητας και ασφαλούς επεξεργασίας που διέπουν, με βάση τον Κανονισμό, την επεξεργασία προσωπικών δεδομένων, είχε ως αποτέλεσμα την παράνομη επεξεργασία, με τη μορφής πρόσβασης, των προσωπικών δεδομένων πάνω από 400.000 πελατών της British Airways σε εθνική, πανευρωπαϊκή και παγκόσμια κλίμακα, τον Ιούνιο του 2018, στο πλαίσιο κυβερνοεπίθεσης που υπέστη η εταιρία.

Δεδομένου ότι η εν λόγω παραβίαση είχε διασυνοριακό χαρακτήρα και ότι το 2018 οπότε και έλαβε χώρα, το Ηνωμένο Βασίλειο δεν είχε αποχωρήσει από την Ε.Ε., η Βρετανική Αρχή ορίστηκε επικεφαλής εποπτική αρχή και συνεργάστηκε με τις άλλες ευρωπαϊκές εποπτικές αρχές για την έκδοση της απόφασής της.

Επιβαρυντικοί/ελαφρυντικοί παράγοντες για τον υπολογισμό του ύψους του προστίμου

Η Βρετανική Αρχή στάθμισε, σύμφωνα με το άρθρο 83 του ΓΚΠΔ, συγκεκριμένους επιβαρυντικούς παράγοντες όπως:

  • το γεγονός ότι η εταιρεία δεν διαπίστωσε η ίδια την παραβίαση αλλά ενημερώθηκε σχετικά από τρίτον, τουλάχιστον δύο μήνες μετά την κυβερνοεπίθεση, γεγονός που θεωρήθηκε σοβαρή αδυναμία καθώς η οικονομική ζημία που θα υφίσταντο τα υποκείμενα, ελλείψει αυτής της ενημέρωσης, θα ήταν ακόμα πιο σημαντική,
  • τον μεγάλο αριθμό των πολιτών που επηρεάστηκαν από την παραβίαση,
  • τη δυσφορία και το άγχος που προκλήθηκε στους πολίτες από την παράνομη πρόσβαση άγνωστου/-ων στα οικονομικά τους στοιχεία, συμπεριλαμβανομένων των στοιχείων της πιστωτικής και χρεωστικής τους κάρτας,
  • τη μεγάλη διάρκεια της παραβίασης,
  • το μέγεθος και το προφίλ της εταιρείας που αυξάνει τις πιθανότητες για κυβερνοεπίθεση και επιβάλλει την εφαρμογή των πλέον κατάλληλων τεχνικών και οργανωτικών μέτρων,
  • τον όγκο των προσωπικών δεδομένων (συμπεριλαμβανομένων των «ευαίσθητων» δεδομένων) που επεξεργάζεται η εταιρεία και
  • τη διαθεσιμότητα κατάλληλων και επαρκών τεχνικών και οργανωτικών μέτρων την εποχή εκείνη που αν είχαν ληφθεί, θα είχε αποτραπεί η κυβερνοεπίθεση.

Από την άλλη πλευρά, ως ελαφρυντικοί παράγοντες ελήφθησαν υπόψη, μεταξύ άλλων:

  • η γνωστοποίηση από την εταιρεία της παραβίασης στην εποπτική αρχή και η ανακοίνωσή της στα εμπλεκόμενα φυσικά πρόσωπα αμέσως μόλις έλαβε γνώση,
  • η στενή και ομαλή συνεργασία της με την εποπτική αρχή,
  • η λήψη άμεσων μέτρων από την εταιρεία για την αντιμετώπιση της οικονομικής ζημίας των φυσικών προσώπων που επηρεάστηκαν από την παραβίαση,
  • το γεγονός ότι η εταιρεία δεν είχε ιστορικό προηγούμενων παραβιάσεων,
  • η οικονομική ζημία που έχει υποστεί η εταιρεία ως αποτέλεσμα της πανδημίας του κορωνοϊού.

Διαπιστώσεις-κλειδιά σε σχέση με τη συμμόρφωση με το GDPR

Οι υπεύθυνοι επεξεργασίας, με βάση την υποχρέωση λογοδοσίας, οφείλουν να είναι σε θέση να αποδείξουν ότι έχουν λάβει όλα εκείνα τα τεχνικά και οργανωτικά μέτρα που διασφαλίζουν την ασφάλεια των προσωπικών δεδομένων έναντι κινδύνων παράνομης επεξεργασίας τους, όπως, μεταξύ άλλων, έναντι μιας κυβερνοεπίθεσης.

  • Το ύψος του προστίμου που θα επιβληθεί σε περίπτωση παραβίασης των υποχρεώσεων που απορρέουν από τον Κανονισμό είναι ευθέως ανάλογο με το μέγεθος της εταιρείας που παραβιάζει τις υποχρεώσεις της.
  • Η επιβολή προστίμων που ανέρχονται ή και υπερβαίνουν το ανώτατο απόλυτο πρόστιμο που προβλέπει ο Κανονισμός (20 εκατομμύρια Ευρώ) είναι απολύτως πιθανή, αν όχι βέβαιη, ανάλογα με τις ειδικότερες περιστάσεις κάθε παραβίασης.
  • Το όποιο κόστος συμμόρφωσης με τον Κανονισμό καθώς και το κόστος ανάληψης ευθύνης (γνωστοποίηση της παραβίασης, συνεργασία με την εποπτική αρχή, ανακοίνωση στα φυσικά πρόσωπα, λήψη μέτρων προστασίας τους, κλπ.) αντισταθμίζεται από την επιεική αντιμετώπιση από τις εποπτικές αρχές και τη μείωση του τυχόν επιβαλλομένου προστίμου.
  • Η συστηματική εκπαίδευση του προσωπικού σε θέματα GDPR διασφαλίζει τη διαρκή εγρήγορσή του και αυξάνει τις πιθανότητες άμεσης διαπίστωσης τυχόν παραβιάσεων δεδομένων προσωπικού χαρακτήρα.