כשנה ורבע לאחר שרשות הגנת המידע בבריטניה (ICO) הודיעה על כוונתה להטיל קנס בסך 183.39 מיליון לירה שטרלינג (כ-230 מיליון דולר) על חברת התעופה בריטיש איירוייז בשל הפרות של ה-GDPR, החליטה לאחרונה הרשות על הפחתה של כ-90% בגובה הקנס כך שחברת התעופה תחויב בקנס של 20 מיליון ליש"ט.

כזכור, ההחלטה על הכוונה להשית את הקנס המקורי התקבלה בסיום חקירה שהחלה בספטמבר 2018, לאחר שבריטיש איירוייז דיווחה על אירוע אבטחה שבו הוסטו משתמשים באתר החברה לאתר מזוייף שאסף פרטים של כ-500,000 משתמשים. המידע שאספו התוקפים כלל פרטי התחברות לאתר BA, פרטי כרטיסי אשראי, פרטי הזמנת טיסות וכן שמות וכתובות.

כעת, לאחר שרשות הגנת הפרטיות דנה עם חברת התעופה על גובה הקנס, החליטה הרשות לקבוע אותו על 20 מיליון ליש"ט. הסכום מהווה את הקנס הגבוה ביותר עד כה שהשיתה בפועל הרשות הבריטית בשל הפרות ה-GDPR. ההפרה המיוחסת לחברת התעופה היא אי-עמידה בחובות אבטחת המידע לפי ה-GDPR ובין הנסיבות המקלות שציינה הרשות כהצדקה להפחתה משמעותית בקנס היו מצבה הכלכלי של החברה בעקבות משבר מגיפת-הקורונה, הטיפול המיידי באירוע האבטחה לאחר שנודע לחברה עליו, שיתוף הפעולה של החברה עם הרגולטור, מסירה מיידית של הודעה על אירוע אבטחת המידע לנושאי המידע הנפגעים והפגיעה במוניטין של החברה שכבר נגרמה עם הפרסום הפומבי על אודות אירוע האבטחה.