Нарушение персональных данных компанией EasyJet: возможные последствия, в том числе штрафы из-стороны государства и возмещения убытков субъектам данных

16 сентября 2020

Недавно Интернет всколыхнула новость о нарушении персональных, которое было совершено авиакомпанией EasyJet. Причиной такого нарушения стала хакерская атака, повлекла за собой потерю персональных данных значительного количества клиентов компании.

Предпосылки нарушения и аналогия с другими нарушениями в сфере авиаперевозок

Это уже не первое нарушение, которое фиксируется в сфере авиаперевозок, однако его последствия могут иметь беспрецедентный характер.

Исходя из официальных источников, можем сделать вывод, что нарушения персональных данных произошло в январе 2020 года, о наступлении которого компания EasyJet сообщила контролирующий орган Великобритании Information Commissioner’s Office (ICO).

Было установлено, что в результате хакерской атаки, предположительно с территории Китайской Народной Республики, незаконно было получено доступ к персональным данным более девяти миллионов (9000000) клиентов компании. Эти персональные данные включают информацию об имени и фамилии пассажира, электронные адреса и номера телефонов. Кроме этого, было установлено, что было незаконно получено доступ к информации о две тысячи двести восемь (2208) банковских карточек.

Как мы и говорили ранее, нарушение обработки персональных данных компанией EasyJet не является первым в отрасли авиаперевозок, ведь в 2018 году имело место нарушение, допущенное компанией British Airways. Однако, стоит отметить, что по своей масштабности нарушения British Airways значительно уступает нарушению, допущенному EasyJet, ведь в 2018 году было получено доступ только к пятистам тысяч (500 000) персональных данных физических лиц.

Что же касается нарушения персональных данных авиакомпанией Vueling, то в рассматриваемом случае в этой статье, это нарушение не стоит соотносить, ведь оно имело место совершенно в другой сфере обработки персональных данных, а штраф, который применялся к компании Vueling достигал лишь тридцати тысяч евро .

Действий компании EasyJet и возможные последствия совершенного нарушения

После идентификации нарушения, компания срочно обратилась к Information Commissioner’s Office с информацией о нарушениях, а также с запросом о предоставлении рекомендаций по совершению дальнейших действий, связанных с выявленным нарушением. В свою очередь, контролирующий орган, предоставил рекомендации об обязательном коммуникации со всеми физическими лицами, чьи персональные данные были нарушены, и в первую очередь с теми, информация о банковских картах которых была нарушена.

Как следствие, компания EasyJet начала сообщать всех своих пользователей о нарушениях, произошло, однако этот процесс затянулся и длится уже более четырех месяцев.

По нашему мнению, факт того, что компания не может оперативно сообщить всем заинтересованным пользователей, может в будущем негативно повлиять на мероприятия и степень ответственности, которая может быть применена к компании.

Ответственность, которая будет применена к компании EasyJet пока неизвестна, однако можем спрогнозировать примерную сумму штрафа, исходя из того, что сумма штрафа для компании British Airways, за нарушение персональных данных в 2018 году, составила около ста восьмидесяти четырех миллионов (184000000) фунтов стерлингов. Вместе с тем, не стоит забывать, что контролирующими органами, в процессе определения степени ответственности компании, могут учитываться как смягчающие, так и отягчающие обстоятельства.

Помимо всего прочего, многие менеджеры и владельцы компаний считают, что нарушения сфере защиты персональных данных может повлечь за собой только применение ответственности в виде штрафа со стороны государства, однако они ошибаются, и в подтверждение этого, ниже мы приводим соответствующий факт.

В мае 2020 года, британская юридическая компания PGMBM подала коллективный иск от всех заинтересованных физических лиц, чьи персональные данные были нарушены, в Высший суд Лондона, в котором просит компенсировать убытки каждому заинтересованному субъекту персональных данных в размере двух тысяч (2000) фунтов стерлингов , что в общем составляет около 18 (18000000000) миллиардов фунтов стерлингов. Эта сумма компенсации, в случае завершения судебного спора в пользу пострадавших физических лиц, может стать роковой для компании EasyJet.

То есть, внутреннее законодательство, кроме наложения штрафных санкций на компанию, также может предусматривать и возможность компенсации морального и материального вреда пострадавшим лицам.

вывод

Вывод из всего этого могу быть только один — не стоит полагаться на удачу и верить в то, что судьба минует вас в контексте наступления нарушения персональных данных. Нужно заранее обеспечить как технические, так организационные меры защиты персональных данных, не дало бы возможности для наступления факта нарушения персональных данных, например с с такими, с которыми столкнулась компания EasyJet, а также сотни других компаний, как в Европейском Союзе, так и по всему миру.