Порушення персональних даних компанією EasyJet: можливі наслідки, в тому числі штрафи з-боку держави та відшкодування збитків суб’єктам даних

16 Вересня 2020

Нещодавно мережу Інтернет сколихнула новина про порушення персональних, яке було здійснене авіакомпанією EasyJet. Причиною такого порушення стала хакерська атака, що потягла за собою втрату персональних даних значної кількості клієнтів компанії.

Передумови порушення та аналогія з іншими порушеннями в сфері авіаперевезень

Це вже не перше порушення, яке фіксується в сфері авіаперевезень, однак його наслідки можуть мати безпрецедентний характер.

Виходячи з офіційних джерел, можемо зробити висновок, що порушення персональних даних сталося в січні 2020 року, про настання якого компанія EasyJet повідомила контролюючий орган Великої Британії Information Commissioner’s Office (ICO).

Було встановлено, що в результаті хакерської атаки, імовірно з території Китайської Народної Республіки, незаконно було отримано доступ до персональних даних більше як дев’яти мільйонів (9 000 000) клієнтів компанії. Ці персональні дані включають інформацію про ім’я та прізвище пасажира, електронні адреси та номери телефонів. Окрім цього, було встановлено, що було незаконно отримано доступ до інформації про дві тисячі двісті вісім (2208) банківських карток.

Як ми і говорили раніше, порушення обробки персональних даних компанією EasyJet не є першим в галузі авіаперевезень, адже в 2018 році мало місце порушення, допущене компанією British Airways. Однак, варто відзначити, що за своєю масштабністю порушення British Airways значно поступається порушенню, допущеному EasyJet, адже в 2018 році було отримано доступ лише до п’ятистам тисяч (500 000) персональних даних фізичних осіб.

Що ж стосується порушення персональних даних авіакомпанією Vueling, то до випадку, який розглядається в цій статті, це порушення не варто співвідносити, адже воно мало місце абсолютно в іншій сфері обробки персональних даних, а штраф, який застосовувався до компанії Vueling сягав лише тридцяти тисяч євро.

Дій компанії EasyJet та можливі наслідки здійсненого порушення

Після ідентифікації порушення, компанія терміново звернулася до Information Commissioner’s Office із інформацією про порушення, а також із запитом про надання рекомендацій щодо вчинення подальших дій, пов’язаних з виявленим порушенням. В свою чергу, контролюючий орган, надав рекомендації щодо обов’язкової комунікації зі всіма фізичними особами, чиї персональні дані були порушені, і в першу чергу з тими, інформація про банківські картки яких була порушена.

Як наслідок, компанія EasyJet почала повідомляти всіх своїх користувачів про порушення, що сталося, однак цей процес затягнувся і триває вже понад чотири місяці.

На нашу думку, факт того, що компанія не може оперативно повідомити всіх зацікавлених  користувачів, може в майбутньому негативно вплинути на заходи та ступінь відповідальності, що може бути застосована до компанії.

Відповідальність, яка буде застосована до компанії EasyJet поки що невідома, однак можемо спрогнозувати приблизну суму штрафу, виходячи з того, що сума штрафу для компанії British Airways, за порушення персональних даних в 2018 році, склала близько ста восьмидесяти чотирьох мільйонів (184 000 000) фунтів стерлінгів. Разом з тим, не варто забувати, що контролюючими органами, в процесі визначення ступеня відповідальності компанії, можуть враховуватися як пом’якшуючі, так і обтяжуючі обставини.

Окрім всього іншого, багато менеджерів та власників компаній вважають, що порушення в сфері захисту персональних даних може потягнути за собою тільки застосування відповідальності, у вигляді штрафу, з боку держави, однак вони помиляються, і на підтвердження цього, нижче ми наводимо відповідний факт.

В травні 2020 року, британська юридична компанія PGMBM подала колективний позов від всіх зацікавлених фізичних осіб, чиї персональні дані були порушені, до Вищого суду Лондону, в якому просить компенсувати збитки кожному зацікавленому суб’єкту персональних даних в розмірі двох тисяч (2000) фунтів стерлінгів, що в загальному складає близько 18 (18 000 000 000) мільярдів фунтів стерлінгів.  Ця сума компенсації, у разі завершення судового спору на користь постраждалих фізичних осіб, може стати фатальною для компанії EasyJet.

Тобто, внутрішнє законодавство, окрім накладення штрафних санкцій на компанію, також може передбачати і можливість компенсації моральної та матеріальної шкоди постраждалим особам.

Висновок

Висновок з цього всього можу бути лише один – не варто покладатися на удачу та вірити в те, що доля омине вас в контексті настання порушення персональних даних. Потрібно заздалегідь забезпечити як технічні, так організаційні заходи захисту персональних даних, що не дало б можливостей для настання факту порушення персональних даних, наприклад за з такими, з якими зіштовхнулася компанія EasyJet, а також сотні інших компаній, як в Європейському Союзі, так і по всьому світу.