Mulig rekordbøde fra ICO

Den engelske databeskyttelsesmyndighed ICO, der svarer til det danske Datatilsyn, har til hensigt at give flyselskabet British Airways en bøde på 183,39 millioner britiske pund (ca. 1,5 milliarder danske kroner) for et persondatasikkerhedsbrud.

Brud på persondatasikkerheden

I september 2018 underrettede British Airways ICO om en cyber-hændelse, der formentlig var begyndt i juni 2018. Hændelsen medførte bl.a., at brugere af British Airways’ hjemmeside blev omdirigeret til en falsk side, hvorigennem kunder hos British Airways fik stjålet deres personoplysninger.

Omkring 500.000 kunder menes at være berørt af hændelsen, der omfatter kompromitteringen af flere forskellige typer persondata, herunder log-in-, betalingskorts- og bookinginformationer, ligesom navn og adresse var omfattet af sikkerhedsbruddet.

ICO er gennem deres undersøgelser kommet frem til, at persondataene blev kompromitteret grundet dårlige sikkerhedsforanstaltninger hos British Airways.

British Airways har samarbejdet med ICO om opklaringen af sagen, og har siden sikkerhedsbruddet øget deres sikkerhedsniveau. På trods af British Airways samarbejde med ICO omkring opklaringen, ser det dog ikke ud til, at selskabet undgår at blive pålagt en rekordstor bøde. British Airways får nu mulighed for at udtale sig til ICO i sagen i forhold til resultaterne af ICOs undersøgelser, samt sanktionen i form af bøden.

ICO har behandlet sagen som ledende tilsynsmyndighed på vegne af andre EU-medlemsstaters tilsynsmyndigheder som følge af ”one-stop-shop”-mekanismen i databeskyttelsesforordningen. Tilsynsmyndighederne, hvis borgere er berørt af sikkerhedsbruddet, får også mulighed for at kommentere på ICOs konklusioner.

Når ICO har gennemgået British Airways’ og de omfattede tilsynsmyndigheders udtalelser til sagen, vil ICO tage en endelig beslutning om sanktionen til British Airways, herunder bødeniveauet.