Obowiązek informacyjny rodo

KOMPAS FORSAFE 2020/2

Kraj:

Wielka Brytania

Data wydania decyzji:

08.07.2019 r.

Podmiot kontrolowany:

British Airways

Wysokość kary (EUR):

22.046.000

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie danych osobowych klientów British Airways wynikało z braku odpowiednich środków bezpieczeństwa w przetwarzaniu danych.

 

Opis wydarzeń

  1. Okres naruszenia: 22 czerwca – 5 września 2018 r.
  2. Atak: Nieznany napastnik uzyskał dostęp do systemów IT i sieci British Airways , przekierowując dane kart płatniczych klientów na fałszywą stronę kontrolowaną przez napastnika (tzw. “skimming”).
  3. Powiadomienie: British Airways zostało poinformowane o naruszeniu przez stronę trzecią i zgłosiło to do organu nadzorczego (ICO) 6 września 2018 r.
  4. Skutki: Naruszenie dotknęło około 430,000 osób, a dane takie jak imię, adres, dane kart płatniczych (w tym CVV), dane logowania pracowników British Airways oraz kont administratorów zostały skradzione.
  5. Decyzja ICO: ICO nałożyło na British Airways karę w wysokości £20,000,000, co stanowi znaczną redukcję w porównaniu do pierwotnie proponowanej kary £183,390,000. Redukcja kary uwzględniała działania łagodzące podjęte przez British Airways oraz wpływ pandemii COVID-19 na sytuację finansową firmy.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie odpowiednich środków bezpieczeństwa: Regularne aktualizacje systemów, monitorowanie i audyty bezpieczeństwa.
  2. Dwustopniowe uwierzytelnianie: Wprowadzenie mechanizmu dwustopniowego uwierzytelniania dla wszystkich systemów przetwarzających dane osobowe.
  3. Symulacje ataków phishingowych: Przeprowadzanie symulacji ataków phishingowych, aby zwiększyć świadomość pracowników na temat zagrożeń.
  4. Ograniczenie dostępu: Zapewnienie, że dostęp do aplikacji, danych i narzędzi jest ograniczony tylko do tych, które są niezbędne do pełnienia roli użytkownika.
  5. Szkolenia dla pracowników: Zwiększenie świadomości na temat zagrożeń cybernetycznych i procedur bezpieczeństwa.
  6. Szyfrowanie danych: Zastosowanie zaawansowanych metod szyfrowania danych wrażliwych.
  7. Szybka reakcja na incydenty: Ustanowienie procedur szybkiego reagowania na incydenty bezpieczeństwa.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO