120 000 funtów kary za zgubionego pendrive’a

Brytyjski organ nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych (Information Commissioner’s Office) nałożył na lotnisko Heathrow w Londynie karę w związku z wyciekiem danych osobowych.

Zdarzenie, które było przedmiotem postępowania miało miejsce w październiku 2017 roku, a więc pod rządami poprzednich przepisów. Data jego wystąpienia jest na tyle istotna, iż w brytyjskich mediach można spotkać się ze sformułowaniem, że port lotniczy „uciekł” przed wysokimi karami RODO. Na tle obecnie grożących kar administracyjnych (nawet 20 mln euro) 120 tysięcy funtów można faktycznie odbierać jako niski koszt (maksymalnie w ówczesnym stanie prawnym administratorom danych groziła kara w wysokości 500 tysięcy funtów).

Incydent polegał na zgubieniu przez pracownika lotniska pendrive’a, na którym znajdowało się 2,5 gigabajtów poufnych informacji. Osoba, która znalazła urządzenie, przejrzała jego zawartość przy użyciu komputera dostępnego w publicznej bibliotece, a następnie przekazała ją do lokalnej gazety, która po skopiowaniu danych, przekazała pendrive z powrotem lotnisku.

Dysk zawierał ponad 1000 plików i nie był w żaden sposób zabezpieczony (brak hasła, brak szyfrowania).

O ile liczba plików zawierających dane osobowe była stosunkowo niewielka, to jednak ich „ciężar gatunkowy” był dosyć duży – jeden z nich zawierał np. wideo szkoleniowe, które ujawniało dane dziesięciu osób, w tym nazwiska, daty urodzenia, numery paszportów, a także inne informacje na temat blisko 50 członków personelu ochrony lotniska.

Brytyjski organ nadzorczy w toku dochodzenia stwierdził również, że tylko 2% z 6500 pracowników zatrudnionych przez lotnisko Heathrow zostało przeszkolony w zakresie ochrony danych. Ponadto, powszechne korzystanie z przenośnych nośników było sprzeczne z wewnętrzną polityką portu lotniczego, a środki zapobiegające pobieraniu danych osobowych na nieautoryzowane lub nieszyfrowane nośniki były nieefektywne.

Poza danymi osobowymi pendrive zawierał również inne poufne informacje, w tym m.in.:

  1. Informacje o dokładnej trasie, którą Elżbieta II przemieszcza się podczas korzystania z lotniska oraz środki bezpieczeństwa stosowane w celu jej ochrony;
  2. Harmonogram patroli ochraniających teren lotniska przed zamachowcami-samobójcami i atakami terrorystycznymi;
  3. Mapy wskazujące rozmieszczenie kamer CCTV oraz sieć tuneli i szybów ewakuacyjnych połączonych z Heathrow Express;
  4. Drogi i zabezpieczenia dla ministrów i zagranicznych dygnitarzy;
  5. Szczegóły systemu radarowego ultradźwięków stosowanego do skanowania dróg startowych i ogrodzenia lotniska.

 

Źródła:

https://securityboulevard.com/2018/10/heathrow-airport-escapes-hefty-gdpr-fine-gets-only-120000-under-1998-dpa-for-2017-privacy-breach-incident/

 

https://www.telegraph.co.uk/technology/2018/10/08/heathrow-airport-fined-120000-serious-data-breach/

Ekspert w dziedzinie ochrony danych

Autor

Michał Rogoziński

Specjalista w dziedzinie ochrony danych osobowych - Inspektor Ochrony Danych (Data Protection Officer), doświadczony praktyk. Doradza polskim przedsiębiorcom przy budowaniu i rozwijaniu bezpiecznego biznesu.