A brit információs kormánybiztos hivatalának (ICO) hatáskörébe tartoznak az adatvédelmi ügyek. Az ICO közleménye szerint az egy évvel ezelőtti kibertámadás részeként a BA honlapját felkereső felhasználókat a hackerek egy másik, hamis honlapra irányították át, és az utasok ide feltöltött adatait ellopták. A hivatal számításai szerint a British Airways hozzávetőleg 500 ezer utasának személyes adatai - köztük nevek, lakcímek, bejelentkezési kódok, bankkártya-adatok - kerülhettek illetéktelen kezekbe. Az ICO szerint mindezt a BA gyengén kidolgozott kiberbiztonsági rendszere tette lehetővé. Elismerték ugyanakkor azt is, hogy a légitársaság együttműködött a vizsgálat során, és azóta már szigorítottak a biztonsági rendszerükön.

Elizabeth Denham információs kormánybiztos a vizsgálati eredményről és a bírságra tett javaslatról szóló hétfői közleményben hangsúlyozta: a személyes adatokat nem véletlenül hívják személyesnek, és ha egy szervezet nem képes megvédeni ezeket az adatokat a károkozástól vagy a lopástól, az nem tekinthető pusztán kényelmetlenségnek az érintettek szempontjából.

A mostani büntetés az első az országban a GDRP életbe lépése óta. Az új szabályok szerint egy cég éves forgalmának akár 4 százaléka is lehetne a büntetés, de a légitársaságra kiszabott tetemes büntetés a vállalat 2017-es forgalmának csak 1,5 százalékát teszi ki. 

Ami történt

A BA tavaly szeptember 6-án jelentette be, hogy a vállalat online foglalási rendszerét augusztus 21-én, közép-európai idő szerint 23:58 órától szeptember 5-én 22:45 percig - vagyis több mint két hétig - tartó hackertámadás érte. A British Airways akkori beszámolójában az szerepelt, hogy az incidens 380 ezer utast érintett. Az ICO hétfőn ismertetett vizsgálati jelentése szerint azonban a támadás valójában már tavaly júniusban elkezdődött, és az érintett utasok száma elérte a félmilliót.

 Az ügyben a brit Országos Bűnüldözési Ügynökség (National Crime Agency, NCA) és a brit Országos Kiberbiztonsági Központ (National Cyber Security Centre, NCSC) is vizsgálatot folytat.

British Airways reakció

Alex Cruz, a British Airways elnök-vezérigazgatója hétfőn közölte, hogy "meglepetéssel és csalódottsággal" értesült az információs kormánybiztosi hivatal pénzbírság-javaslatáról. Cruz szerint a BA gyorsan reagált az utasok adatainak ellopását célzó támadásra, és saját vizsgálata során nem talált bizonyítékot arra, hogy az érintett felhasználói adatokkal bárki visszaélt volna. A cégvezető bejelentette, hogy a BA fellebbez a javasolt bírság ellen.

Az ICO legnagyobb büntetése
 
Ez a legnagyobb büntetés, amit az ICO valaha kiszabott, az eddigi rekorder 367-szer kisebb összegről, 500 ezer fontról szólt, amit a Facebooknak kellett kifizetnie Nagy-Britanniában a Cambridge Analytica botrány után. (A Cambridge Analytica nevű, londoni székhelyű - azóta felszámolt -  brit-amerikai politikai elemző és tanácsadó cég a 2016-os amerikai elnökválasztási kampányban csaknem 90 millió Facebook-felhasználó adatainak megszerzésével próbált képet alkotni a célba vett amerikai választók politikai beállítottságáról, tudtuk nélkül.) Azóta lépett életbe az EU-s új szabályozás, a GDRP, ami jelentősen megnövelte a kiszabható büntetések mértékét, a vállalatok teljesítményéhez kötve azt.