KOMPANIJAMA BRITISH AIRWAYS I MARRIOTT INTERNATIONAL PRETE ASTRONOMSKE KAZNE ZBOG KRŠENJA GDPR-A

Vest koja je odjeknula u svetskoj javnosti je da britansko regulatorno telo zaduženo za zaštitu podataka o ličnosti (Information Commissioner’s Office – ICO), namerava da kazni dve svetski poznate kompanije kaznama u iznosu od više miliona evra zbog povrede člana 32 Opšte uredbe o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR).

ICO je 9. jula izdao saopštenje o nameri da kazni lanac hotela Marriott International kaznom u visini od preko 100.000.000,00 evra. Ova vest se pojavila samo dan nakon što je objavljeno da kompaniji British Airways preti rekordna kazna u iznosu od 204.000.000,00 evra zbog povrede podataka o ličnosti. Ova kazna bi bila najviša do sada izrečena kazna od strane ICO-a za kršenje GDPR legislative. Međutim, navedene kazne nisu konačne, jer kompanije imaju pravo žalbe na ove odluke.

U skladu sa GDPR-om, regulatorna tela zadužena za zaštitu podataka o ličnosti, uključujući i ICO, mogu kazniti kompanije za kršenje GDPR-a u iznosu do 4% od njihovog svetskog godišnjeg prihoda ostvarenog u prethodnoj finansijskoj godini, ili do 20 miliona evra, koji god od ova dva iznosa je viši. GDPR zahteva od kompanija da obezbede siguran način prikupljanja, obrade i deljenja podataka.

POVREDA PODATAKA O LIČNOSTI OD STRANE HOTELA MARRIOTT INTERNATIONAL

Naime, u novembru 2018. godine, Marriott je izdao saopštenje o incidentu koji je doveo do povrede podataka o ličnosti gostiju hotela tokom 2014. godine. Marriott je priznao da je baza podataka o rezervacijama u hotelu Starwood ugrožena sajber napadom i da su procureli lični podaci o gostima. Marriot je kupio Starwood Hotels & Resorts Worldwide 2016. godine. Međutim, curenje ličnih podataka gostiju nastavilo se do 2018. godine, kada je otkriven ovaj višegodišnji prekršaj.

Nakon sprovedene istrage, ICO je saopštio da je oko 339 miliona evidentiranih gostiju pogođeno ovim slučajem na globalnom nivou. Među njima, oko 30 miliona su evidencije koje se odnose na stanovnike 31 države članice Evropskog ekonomskog prostora, a oko 7 miliona su evidencije stanovnika Velike Britanije. Čuveni lanac hotela ugrozio je osetljive podatke o ličnosti svojih gostiju koji uključuju njihova imena, email adrese, podatke o kreditnim karticama, datume rođenja, pol, informacije o prijavljivanju i odjavljivanju iz hotela.

Istraga ICO-a otkrila je da Marriot nije uradio dovoljan due diligence pre kupovine Starwood hotela i da je trebalo mnogo bolje da osiguraju svoje sisteme.

Britanski Poverenik za informacije, Elizabeth Denham, naglasila je u svojoj izjavi da: „GDPR jasno navodi da organizacije moraju biti odgovorne za podatke o ličnosti koje čuvaju. Ovo može uključiti sprovođenje odgovarajućeg due diligence procesa prilikom vršenja korporativne akvizicije i uspostavljanja odgovarajuće mere odgovornosti kako bi se procenilo ne samo koji podaci o ličnosti se drže, nego i kako su oni zaštićeni”.

POVREDA PODATAKA O LIČNOSTI OD STRANE BRITISH AIRWAYS

U slučaju povrede podataka o ličnosti od strane kompanije British Airways, ICO je izdao saopštenje o svojim namerama da kazni ovu kompaniju zbog povrede GDPR-a u iznosu od preko 204.000.000,00 evra, što je oko 1,5% od godišnjeg prihoda kompanije. Veruje se da je povreda podataka o ličnosti počela u junu 2018. godine i da je trajala do 5. septembra 2018. godine, što je British Airways zvanično otkrio u septembru 2018. godine.

Ukratko, sajber napad koji je prošle godine izvršila hakerska grupa uticao je na otprilike polovinu miliona klijenata kompanije British Airways koji su izvršili rezervacije tokom tog perioda. Ovaj incident je uključivao preusmeravanje korisničkog saobraćaja sa sajta British Airways-a na lažni sajt dizajniran da izgleda kao zvanični sajt kompanije. Kroz ovaj lažni sajt, hakeri su prikupili detalje o klijentima. Podaci o ličnosti i detalji plaćanja, kao što su login, detalji o platnim karticama i podaci o rezervaciji putovanja, kao i podaci o imenu i adresi klijenata su kompromitovani. Međutim, putni podaci i podaci o pasošima nisu ukradeni.

ICO je izjavio da je ovaj incident posledica „loših sigurnosnih sistema’’ u British Airways-u koji su zatim doveli do povrede podataka o ličnosti. Tako je ICO zauzeo stav da je British Airways odgovoran za kršenje GDPR-a. British Airways ima pravo da se žali na odluku, tako da ćemo morati da sačekamo konačnu odluku ICO-a.

Sa sigurnošću možemo izvući pouke iz ovih slučajeva da treba veoma pažljivo rukovati podacima o ličnosti, budući da su regulatorna tela zadužena za zaštitu podataka o ličnosti zauzela jasan i odlučan stav da striktno primenjuju GDPR.

NEWSLETTER

NEWSLETTER