Storbritannien: British Airways bötfälls med 20 miljoner pund för dataintrång

Den brittiska dataskyddsmyndigheten The Information Commissioner’s Office (“ICO”) har bötfällt British Airways Plc med 20 miljoner pund för brott mot artiklarna 5.1 (f) och 32 i dataskyddsförordningen (“GDPR”). Bötesbeloppet är dock betydligt lägre än det belopp om 183,39 miljoner pund som myndigheten aviserat för i juli 2019 (läs mer om detta här).

Av beslutet framgår att ICO vid beräkningen av böterna bland annat beaktat de ekonomiska effekterna COVID-19 haft på British Airways verksamhet. Vidare meddelar ICO att överträdelsen av principen om integritet och konfidentialitet enligt artikel 5.1 (f) i GDPR faller inom artikel 83.5 (a) i GDPR (sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av den globala årsomsättningen), medan överträdelsen om British Airways vidtagna säkerhetsåtgärder enligt artikel 32 i GDPR faller inom artikel 83.4 (a) i GDPR (sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den globala årsomsättningen). Enligt ICO är en lämplig nivå för böterna det som anges i artikel 83.5 (a) i GDPR eftersom överträdelsen av principen om integritet och konfidentialitet utgör den allvarligaste brottet mot GDPR i detta fall.

Vidare meddelar ICO att British Airways kunde ha vidtagit en rad olika åtgärder för att mildra eller förhindra risken för att en angripare skulle kunna komma åt British Airways nätverk, som exempelvis att begränsa åtkomst till applikationer, data och verktyg, att genomföra noggranna tester på företagets system och att skydda anställdas och tredjepartskonton med tvåfaktorsautentisering. Enligt ICO skulle ingen av dessa åtgärder medföra överdrivna kostnader eller tekniska hinder för British Airways. ICO betonar dock att British Airways gjort betydande förbättringar avseende sin IT-säkerhet sedan dataintrånget i juni 2018.

Eftersom överträdelsen inträffade innan Storbritannien lämnade EU har samtliga EU:s ledande tillsynsmyndigheter godkänt påföljden i enlighet med GDPR:s samarbetsprocess.

Du kan läsa pressmeddelandet här och beslutet om sanktionsavgifter här, båda endast tillgängliga på engelska.

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom AI, personlig integritet och informationssäkerhet.