Stamilionová pokuta pro British Airways za porušení GDPR

Britský úřad pro ochranu osobních údajů uložil společnosti British Airways pokutu ve výši 205 milionů eur, tedy přibližně pět miliard korun. Úřad to oznámil v červenci  2019. Jedná se o první případ sankce uložené orgánem Spojeného království, které se týká GDPR. Zároveň se může jednat o doposud nejvyšší pokutu v Evropě. Co udělala společnost British Airways špatného?

Úřad zjistil, že mezi srpnem a zářím 2018 byla ze serveru British Airways odcizena osobní data zhruba 500 tisíc osob kvůli bezpečnostnímu výpadku, za který byla letecká společnost odpovědná. Jednalo se především o přihlašovací údaje, informace o platbě, cestovní rezervační údaje, e-mailové adresy nebo o informace o jménech a adresách.

Předpokládá se, že i přestože byla data odcizena, nebyla pravděpodobně zneužita nebo zveřejněna. Nicméně takový incident představuje porušení Obecného nařízení. Podle nařízení GDPR musí zpracovatelé údajů zavést vhodná bezpečnostní opatření, aby se takové ztrátě zabránilo, či zamezilo neoprávněnému zveřejnění osobních údajů. V tomto případě vedl k odcizení údajů nedostatek počítačové bezpečnosti. Tento nedostatek vhodných bezpečnostních opatření lze klasifikovat jako podstatné porušení GDPR. V takových případech poškození velkého počtu osob postačuje veřejné sdělení o porušení osobních údajů.

V této souvislosti je třeba zmínit, že Úřad na ochranu osobních údajů o incidentu informovala samotná společnost British Airways a při šetření plně spolupracovala. Vzhledem k těmto skutečnostem se zdá pravděpodobné, že letecká společnost navíc dotčené osoby řádně informovala. V opačném případě by sankce byla zcela jistě vyšší.