British Airways оштрафовали за несоблюдение GDPR

31.12.2020

Новый регламент ЕС по защите данных GDPR был выпущен в 2018 году. С того момента все европейские компании осведомлены о том, как соответствовать правилам GDPR. Недавно британский контролирующий орган – Управление Комиссара по информации (ICO) Великобритании – применил санкции к British Airways (BA) за нарушение по соблюдению политики по защите данных. В этом материале мы проведем более детальный анализ ситуации и расскажем, как применять GDPR компании в Великобритании.

Соблюдение новых правил обработки персональных данных GDPR в АНГЛИИ

Регулятор акцентировал внимание на том, что если происходят ошибки в обработке персональных данных, то нарушители могут подпадать под санкции в виде уплаты штрафов. Требования ЕС по соблюдению GDPR обеспечивают надлежащую безопасность клиентам в отношении минимальной информации, которой может владеть компания.

По данным британской фирмы злоумышленники атаковали сеть British Airways. Им стали доступны персональные данные более 400 000 клиентов. Кибератака была организована таким образом, что платежи от потребителей автоматически перенаправлялись на счет преступной организации.

После уплаты штрафа, британская компания должна проанализировать и усовершенствовать:

удаленный доступ к данным;
правила ведения мониторинга;
правила ведения записей в отношении соблюдения правил GDPR в Великобритании;
программы тестирования уязвимости сайта.

Читать также: Что вам стоит знать о GDPR

Как защитить британскую компанию от киберпреступности

Большинство компаний перешло на удаленный режим работы из-за вспышки КОВИД-19. Поэтому возникает вопрос: как защитить бизнес от кибератак в Великобритании? Управление Комиссара по информации (ICO) предоставило несколько комментариев по этому поводу.

Для того чтобы обезопасить свою компанию нужно разработать и ввести многократную аутентификацию. Поскольку такой проверки не было на сайте BA, злоумышленники легко заполучили доступ к личным данным клиентов.

После того как British Airways получили сообщение от третьих лиц, что на систему компании была произведена кибератака, URL мошеннического сайта был заблокирован в течение нескольких часов. Даже после быстрого реагирования на ситуацию со стороны ВА, надзорный орган все равно посчитал, что компания недостаточно задействовала технические меры для обеспечения безопасности данных своих потребителей в Англии.

Ожидается, что проверка обеспечения защиты персональных данных в Великобритании будет касаться как крупных организаций, так и небольших компаний.

Правила обработки персональных данных GDPR: какие штрафы уплатила British Airways

Из-за того, что в процессе взлома системы компании British Airways был нанесен вред большому количеству людей, летом 2019 года было вынесено решение о том, что компания должна выплатить денежный штраф. Регулятор также принял во внимание то, что организация узнала про атаку от третьих лиц, а не в ходе проверки безопасности сайта. В конечном итоге был вынесен вердикт об уплате штрафа в размере 20 млн GBP. На сегодняшний день это самое большое взыскание со стороны регулятора.

Заключение

Любое местное предприятие, владеющее даже минимальной информацией о своих клиентах, должна знать, как соблюдать Регламент защиты прав GDPR в Великобритании. В ходе расследования кибератаки на сайт British Airways регулирующий орган по защите данных постановил, что британская компания не в полной мере обеспечила безопасность информации о клиентах.

Было принято решение оштрафовать предприятие за несоблюдение правил GDPR. Соответствие требованиям GDPR становится еще более актуальным вопросом в период удаленной работы из-за вспышки коронавируса. Для того чтобы избежать ошибок в отношении соблюдения Общего регламента по защите данных при открытии компании в Великобритании, вы можете воспользоваться возможностью заказа консультации по соблюдению правил GDPR у профильных специалистов.