„Každý, kdo má v podniku na starost zabezpečení dat, z tohoto rozhodnutí musí mít mrazení v zádech,“ komentuje BBC první velký trest pro firmu za únik osobních dat uživatelů. Kancelář informačního komisaře (ICO), britský úřad na ochranu osobních údajů, udělil rekordní pokutu letecké společnosti za to, že v roce 2018 z jejích webových stránek unikla soukromá data statisíců zákazníků.
„Zákon mluví jasně. Když vám uživatelé svěří soukromá data, tak se o tato data musíte postarat,“ uvedla informační komisařka Elizabeth Denhamová. „Když firma nedokáže ochránit soukromá data uživatelů před poškozením krádeží, není to jen nepříjemnost. Ti, kteří data nedokážou ochránit, musí počítat s tím, že moje kancelář podnikne kroky k ochraně těchto základních práv na soukromí.“
Aerolinie British Airways se brání, že byly v roce 2018 obětí „sofistikovaného, zákeřného kriminálního útoku“. Ten spočíval v tom, že útočníci na web britských aerolinek propašovali 22 řádků kódu a postupně získali osobní údaje o platebních kartách (včetně čísla karty a bezpečnostního kódu), platbách, adresách a letenkách více než 380 tisíců uživatelů. Firma British Airways (BA) v září 2018 uznala pochybení. Pokutou ve výši 183 milionů liber (přes pět miliard korun) je však firma podle vyjádření citovaného BBC „překvapená a zklamaná“.
Směrnice GDPR otevřela cestu megapokutám pro velké firmy
Doposud největší pokutou v historii, kterou Kancelář informačního komisaře udělila, byla sankce pro firmu Facebook ve spojení s únikem dat v kauze Cambridge Analytica v říjnu 2018. Bylo to půl milionu liber (14 milionů Kč), což byla tehdy maximální možná pokuta.
Ilustrační snímek
Mezitím ale vstoupila v platnost pravidla GDPR. Zatímco provinění Facebooku bylo posuzováno podle starých pravidel, na únik dat BA už se vztahují pravidla nová. A tam není maximální pokuta daná absolutním číslem, ale odvíjí se od možností firmy. Horní hranice jsou čtyři procenta z ročního obratu.
V tomto ohledu není 183 milionů liber „až tak moc“, je to jen 1,5 % obratu BA za rok 2017. Oproti pokutě pro Facebook je to ovšem nárůst více než 350násobný. Takové částky mohou úplně změnit to, jak se na úniky coby potenciální riziko dívají poskytovatelé služeb.
„Někdo by mohl čekat, že u první pokuty podle GDPR bude informační komisař opatrný a bude se držet při určování výše pokuty při zemi,“ podotkl Rory Cellan-Jones, technický redaktor BBC. Podle něj ovšem takto vysoká pokuta určitě poskytne materiál k zamyšlení pro kohokoli, kdo má na starosti bezpečnost dat v jakékoli velké firmě. „Zpráva je jasná: pokud nevěnujete bezpečnosti uživatelských dat maximální péči, čekejte drsný trest v případě, že se něco semele.“
British Airways mají měsíc na odvolání, což firma zvažuje. Výsledná pokuta tak může být jiná. „Není žádný důkaz o tom, že by data, která byla ukradena, byla nějakými podvodníky zneužita,“ říká na svou obranu šéf aerolinek Alex Cruz. „Omlouváme se našim zákazníkům za nepříjemnosti, které jim tato událost způsobila.“
Pokuta, pokud bude nakonec udělena, neputuje ke konkrétním poškozeným, ale do státní kasy. Zákazníci, jejichž data unikla, mohou žádat o odškodnění jednotlivě.
