הרשות להגנת הפרטיות הבריטית (ICO) "נושכת". בהמשך לחקירה נרחבת, פרסמה ה-ICO הודעה על כוונתה להטיל קנס על חברת התעופה הבריטית בסכום עתק של 183.39 מיליון ליש"ט בגין הפרת תקנות הגנת המידע האירופאיות (GDPR).
הקנס הפוטנציאלי מתייחס לאירוע אבטחת מידע באתר האינטרנט של החברה, עליו דיווחה חברת התעופה ל-ICO בספטמבר 2018. האירוע נבע, בין היתר, מהפניית המשתמשים מאתר החברה לאתר מזויף בו התבצעה ההונאה, אשר כפי שיפורט – כללה 'קצירת מידע אישי'.
דרך האתר המזויף נגנבו פרטי הלקוחות על-ידי התוקפים, כאשר הלקוחות הזינו את הפרטים בעצמם – לתוך אתר שחשבו אותו להיות אתר של חברת התעופה. בתוך כך נתונים אישיים של כ-500,000 לקוחות נפגעו באירוע אשר מוערך כי החל כבר בחודש יוני 2018 (וכזכור, דווח שלושה חודשים לאחר מכן).
עוד העלתה החקירה כי מגוון רב של מידע אודות לקוחות החברה הועמד בסיכון, וזאת בעקבות התנהלות ארגונית וטכנולוגית בעולם אבטחת המידע שאינה עומדת בדרישות תקנות ה-GDPR. המידע אשר נגנב כולל פרטים אישיים (שם וכתובת), פרטי הזדהות אישית (Log In), פרטי כרטיסי אשראי, וכן היסטוריית נסיעות הלקוחות.
"המידע האישי של אנשים הוא – אישי. כאשר ארגון נכשל להגן עליו מפני אובדן, נזק או גניבה זה יותר מאשר 'אי-נוחות'. לכן החוק ברור – כאשר אתה מופקד על נתונים אישיים אתה נדרש לטפל בהם. אלו שלא יעשו כן – יעמדו בפני ביקורת קשה מפני משרדי. בדיקת ה-ICO נועדה כדי לוודא שהחברה נקטה ונוקטת בכל האמצעים הדרושים על מנת להגן על זכויות הפרטיות הבסיסיות", כך מסרה אליזבת דנהאם, נציבת הרשות הבריטית.
יש לציין כי חברת התעופה שיתפה פעולה לכל אורך חקירת ה-ICO, ושיפרה את נהלי אבטחת המידע בארגון מאז שהתגלו האירועים. לחברה תהיה כעת הזדמנות להציג טיעוניה בפני ה-ICO ביחס לממצאי החקירה והסנקציות העתידות לבוא.
הרשות הבריטית, חוקרת מקרה זה גם בשם ומטעם רשויות אחרות באיחוד, כרשות מובילה. מצוין כי חקירה זו אף מתבצעת בשיתוף פעולה עם רגולטורים אחרים.
ה-ICO תשקול בקפידה את המצגים שניתנו על-ידי חברת התעופה ושאר רשויות הגנת מידע האירופאיות הנוגעות בדבר, וזאת לפני קבלת החלטה סופית. כמו כן, לאור מגוון ההוראות ואפשרויות הפעולה הקיימות בתקנות ה-GDPR, יתר רשויות הגנת המידע באירופה אשר תושבים שלהן נפגעו, יוכלו להגיב גם הן על ממצאי חקירת הרשות הבריטית.