כוונה להטיל קנס ענק על בריטיש איירווייז בשל הפרות ה-GDPR

רשות הגנת המידע בבריטניה (ICO) הודיעה על כוונתה להטיל קנס בסך 183.39 מיליון לירה שטרלינג (כ-230 מיליון דולר) על חברת התעופה בריטיש איירוייז, בשל הפרות של ה-GDPR.

ההחלטה התקבלה בסיום חקירה שהחלה בספטמבר 2018, לאחר שבריטיש איירוייז דיווחה על אירוע אבטחה שבו הוסטו משתמשים באתר החברה לאתר מזוייף שאסף פרטים של כ-500,000 משתמשים. המידע שאספו התוקפים כלל פרטי התחברות לאתר BA, פרטי כרטיסי אשראי, פרטי הזמנת טיסות וכן שמות וכתובות.

הנציבה הבריטית להגנת המידע, אליזבת דנהאם ציינה כי "מידע פרטי של אנשים הוא בדיוק זה - פרטי. כשארגון נכשל בהגנה עליו מפני אובדן, נזק או גניבה, זה יותר מאי נוחות. לכן החוק ברור - כשאנשים מפקידים בידך מידע אישי אתה חייב לשמור עליו. מי שלא יעשה זאת, ייבחן על ידי המשרד שלנו כדי לוודא שננקטו צעדים ראויים להגנה על הזכות הבסיסית לפרטיות."

בריטיש איירוייז שיתפה פעולה במהלך החקירה ומאז חשיפת הארוע, ביצעה שיפורים במערכות אבטחת המידע שלה. כעת, תינתן לה הזדמנות להציג את עמדתה באשר לממצאי החקירה והקנס הצפוי. כמו כן, לפני שהרשות הבריטית תקבל החלטה סופית בעניין זה, יוכלו רגולטורים ממדינות נוספות באירופה, אשר תושביהן נפגעו בארוע, להגיש את הערותיהם לגבי ממצאי החקירה. מקור: רשות הגנת המידע בבריטניה.

law.co.il מעיר כי אם יוטל לבסוף הקנס בסכום שהוצע, הוא יהיה הגבוה ביותר שהושת עד כה לפי ה-GDPR.