Rekordhøj bøde – British Airways overtræder persondataforordningen

Nyhed

09.07.2019

I september 2018 indberettede British Airways et brud på personsikkerheden, hvorved op til 500.000 kunders kreditkortoplysninger var blevet opsnappet af hackere. Nu har den britiske udgave af Datatilsynet, ICO, offentliggjort et udkast til en bøde til British Airways, som lyder på 183 millioner britiske pund.

Sagen, som endnu mangler at blive afsluttet, giver allerede nu vigtige input til forståelsen af, hvorledes de nationale myndigheder vil sanktionere overtrædelser af persondataforordningen, og hvor høje bødeniveauer vi kan forvente.

Kreditkortoplysninger opsamlet via falske hjemmesider

Et af de opsigtsvækkende forhold ved sagen er, at luftfartsselskabet i første omgang var offer for et hackerangreb, hvor angriberne havde held til at infiltrere luftfartsselskabets hjemmeside og herved omdirigere selskabets kunder til falske hjemmesider, hvor kunderne i god tro oplyste deres kreditkortoplysninger. Denne tilstand blev først opdaget efter 3 måneder, og da var kortoplysninger på op til 500.000 kunder allerede havnet i forkerte hænder.

British Airways ansvarlig trods hackerangreb

Når British Airways bliver gjort ansvarlig for disse hackeres kriminelle gerninger, skyldes det, at sikkerheden omkring luftfartsselskabets hjemmeside og de tilknyttede betalingsløsninger var for ringe og ikke gav en tilstrækkelig beskyttelse af de fortrolige kortoplysninger. Sagen bringer endnu engang fokus på det forhold, at persondataforordningens krav til datasikkerhed bliver målt ud fra det meget brede kriterium ”passende foranstaltninger”, og at dette i praksis fører til meget strenge krav for de dataansvarlige.

Rekordhøjt bødeniveau

I henhold til persondataforordningen har de nationale myndigheder beføjelser til at udstede bøder på op til 20 millioner euro. Hvis der er tale om virksomheder, kan der udstedes bøder på op til 4% af omsætningen. Med det foreliggende forslag til bøde på 183 millioner britiske pund har man fra ICO’s side gjort brug af muligheden for at udmåle bøden på baggrund af British Airways’ omsætning og ikke blot stoppe ved de 20 millioner euro. Dette gør bøden til den højeste bøde udstedt til dato. Bøden udgør 1,5% af British Airways’ samlede omsætning.

Har der været skærpende omstændigheder?

Selvom det endnu ikke er offentliggjort, hvilke omstændigheder ICO har lagt vægt på i sin beslutning, er det oplagt at tro, at følgende omstændigheder har spillet skærpende ind:

Flyselskabets ringe IT-sikkerhed
Flyselskabets sparede udgift ved ikke at have investeret i et mere sikkert system
Antallet af mistede kortoplysninger
Sikkerhedsbristet foregik i tre måneder

Det fremgår af ICO’s pressemeddelelse, at British Airways har samarbejdet om opklaringen og efterfølgende har forbedret sin IT-sikkerhed betragteligt. Uden disse forhold havde bøden utvivlsomt været endnu større.

Du kan læse om den endelige afgørelse i sagen her

Har du spørgsmål vedrørende persondata, står HjulmandKaptains specialister i persondata altid klar til at hjælpe, så tøv ikke med at kontakte os.