Sankcyjny dorobek brytyjskiego organu nadzoru (ICO) – kara dla British Airways, Marriott i Facebook’a

Biuro DLS

     Po nieco ponad roku od rozpoczęcia stosowania Ogólnego Rozporządzenia o ochronie danych osobowych (RODO), można śmiało stwierdzić, że przedmiotowe przepisy zdążyły już w większości krajów europejskich zebrać swoje plony i uzasadnionym wydaje się być przypuszczenie, że ich „ofiar” z biegiem czasu będzie przybywać. Po początkowym poruszeniu, wywołanym obowiązkiem przełożenia treści RODO na realia krajowe oraz emocjach związanych z nałożeniem pierwszej kary w Polsce, europejskie organy powołane do nadzoru nad odpowiednim wdrożeniem RODO, intensyfikują społeczną świadomość doniosłości zagadnienia poprzez nakładanie kolejnych kar na przedsiębiorstwa. 

      Jednym z najbardziej aktywnych pod względem ilości już wymierzonych, lecz także zapowiedzianych sankcji jest organ brytyjski – Information Comissioner’s Office (ICO). W ostatnim czasie ICO stwierdził nieprawidłowości wynikające z RODO w dużych międzynarodowych przedsiębiorstwach, co sprawiło, że sprawy te odbiły się echem w całej Europie.

 

Skutki ataku hakerskiego a RODO – British Airways

           Brytyjski ICO w ostatnim czasie podał do publicznej wiadomości informację, ujawniającą zamiar nałożenia na linie lotnicze British Airways kary w wysokości 183 mln funtów (co w przybliżeniu daje kwotę około 864 mln zł). Podstawą do jej wymierzenia są nieprawidłowości stwierdzone przez organ.

Na przełomie sierpnia i września 2018 roku doszło bowiem do cyberataku, w wyniku którego nastąpił wyciek danych osobowych około pół miliona osób. Osoby trzecie uzyskały dostęp do imion, nazwisk, adresów e-mail, a co najważniejsze – danych do kart kredytowych.

Szef linii lotniczych podkreśla szybką reakcję przedsiębiorstwa na atak oraz dopełnienie wszelkich obowiązków, narzuconych przez RODO w razie wystąpienia incydentu. Mowa tutaj przede wszystkim o zgłoszeniu zdarzenia, poinformowaniu o nim klientów czy współpracy z organem w trakcie badania sprawy.

ICO stoi jednak na stanowisku, że w opisywanym przypadku linie lotnicze nie dokonały właściwych zabezpieczeń, które uniemożliwiłyby skuteczne przeprowadzenie ataku. Wynikiem tego miałaby być rzeczona kara. Przypomnijmy, że naruszenie, o którym mowa wynika z art. 32 RODO. W przypadku jego stwierdzenia Rozporządzenie przewiduje możliwość nałożenia kary w wysokości do 10 000 000 EURO, a jeśli chodzi o przedsiębiorstwo – w wysokości do 2 % rocznego obrotu, stwierdzonego na rok poprzedzający zdarzenie. Zapowiedziana kwota kary to w przeliczeniu ok. 1,5 % obrotu towarzystwa lotniczego.

Zaznaczyć należy, że przedstawiciele British Airways zapowiedzieli już skorzystanie z możliwości odniesienia się do wysokości nałożonej kary prze wydaniem ostatecznej decyzji przez instytucję. Gdyby jednak ona zapadła, wysokość grzywny byłaby najwyższą nałożoną jak do tej pory kwotą, wynikająca ze stosowania RODO.

 

Marriott – przejęcie z naruszeniem

Zaledwie dzień później brytyjski ICO ponownie informuje o zamiarze nałożenia grzywny o równie znacznej wartości. Tym razem chodzi o sieć hoteli Marriott – wyciek danych oraz dużą zwłokę w stwierdzeniu incydentu.

W 2016 r. Marriott przejął sieć Starwood, w której jak się okazuje na przestrzeni czasu, a od roku 2014 miał miejsce wyciek danych, wywoływany atakami hakerskimi. W ich wyniku, aż do 2018 roku osoby nieuprawnione uzyskały dostęp do danych około 339 mln klientów z różnych stron świata (w tym między innymi: imiona i nazwiska, adresy e-mail, numery telefonów, numery paszportów, daty pobytu w hotelach czy dane kont bankowych).

W sprawie Marriott’u ICO wskazało przede wszystkim na ogromną skalę wycieku, zarówno pod względem liczbowym, jak i samego rodzaju tych danych. Podkreślono też niewystarczające środki zabezpieczenia systemów w okresie od kupna konsorcjum hotelowego Starwood. Co więcej, pod uwagę wzięto również, karygodną jak mogłoby się wydawać, długość czasu, potrzebnego sieci Marriott na stwierdzenie wycieku (swoistego rodzaju „opóźnienie” trwało 2 lata). W efekcie instytucja zapowiedziała karę w wysokości 99 mln funtów (ok. 470 mln zł). Podobnie jak w sprawie British Airways maksymalną grzywną za dopuszczenie się wskazanych naruszeń jest kwota do 2 % rocznego obrotu.

Przedstawiciele sieci hoteli uważają karę za zbyt surową i podkreślają przede wszystkim współpracę przy postępowaniu ICO. W związku z tym zdaje się, że jeśli ostatecznie dojdzie do jej nałożenia możemy się spodziewać odwołania od niej przez Marriott.

Facebook podwójnie ukarany

W październiku 2018 r. Facebook został ukarany przez ICO za udostępnienie poprzez aplikację danych osób z niej korzystających bez wyraźnej ich zgody. W oświadczeniu ICO wskazano, że „Pomiędzy 2007 a 2014 rokiem Facebook przetwarzał dane osobowe użytkowników nieuczciwie, pozwalając twórcom aplikacji na dostęp do informacji osobistych bez wyraźnej i jasnej ich zgody. Co więcej twórcy aplikacji mieli też dostęp do danych użytkowników, którzy nie korzystali z aplikacji, a byli tylko znajomymi użytkowników aplikacji”. Istotnym w sprawie jest też fakt, że najbardziej prawdopodobnym jest, że Cambridge Analytica, do której dane trafiły, wykorzystała otrzymane informacje w celu przeprowadzenia skutecznej kampanii politycznej, profilując, pojawiąjące się u odbiorców elektroniczne banery marketingowe. Wskutek zajścia zdarzenia brytyjskie ICO nałożyło na Facebook’a grzywnę w kwocie 500 tys. funtów.

W ostatnich dniach skutki naruszenia Facebook odczuł ponownie. Szerokim echem odbiła się bowiem kara, nałożona na serwis przez amerykańską Federalną Komisję Handlu (FTC – Federal Trade Commission).

FTC od marca 2018 r. prowadziła śledztwo w sprawie nieuprawnionego przekazania danych użytkowników serwisu do Cambridge Analytica. Okazuje się, że naruszając prywatność użytkowników Facebook udostępnił dane około 87 mln osób. Znaczącym jest fakt, że jeszcze w 2012 r. jego przedstawiciele podpisali z FTC dokument, w którym zobowiązują się do poprawienia poziomu ochrony prywatności użytkowników. Sprawa Cambridge Analytica jest wobec tego jednoznacznym naruszeniem jego warunków.

Wskutek opisywanych zdarzeń FTC zdecydowało się nałożyć na serwis karę w rekordowej wysokości (jeśli chodzi o dziedzinę ochrony danych osobowych) – 5 mld dolarów. Wynikająca z kary kwota jest niejakim kompromisem pomiędzy Facebook’iem i FTC, skutkiem negocjacji i ugody. Oprócz samej grzywny FTC zobowiązuje Facebook’a do wprowadzenia dość znaczących zmian w obszarze ochrony prywatności. Między innymi serwis ma powołać niezależny komitet ds. ochrony prywatności, składający się z tzw. “urzędników ds. zgodności”, powoływanych przez równie niezależny komitet ds. nominacji. W założeniu organ ten ma czuwać nad przedmiotowymi procesami i stanowić swoistą gwarancję “rozproszenia” dotychczasowej kontroli Marka Zuckerberga w tym zakresie. Ponadto treść ugody zawiera szereg innych wymogów, między innymi:

  1. konieczność uzyskania wyraźnej zgody użytkowników dla używania funkcji rozpoznawania twarzy;
  2. zakaz wykorzystywania podanych numerów telefonów dla celów marketingowych, gdy te były podane przez użytkowników w innym celu;
  3. konieczność zwiększenia kontroli nad aplikacjami zewnętrznymi;
  4. zakaz wymagania hasła do elektronicznej skrzynki pocztowej przy rejestracji konta użytkownika.

Jak podają wszystkie źródła kwota grzywny, choć zdaje się sumą zdecydowanie niebagatelną, dla samego Facebook’a nie jest wcale rażąca. Mówi się bowiem, że tylko w pierwszym kwartale 2019 r. firma uzyskała dochód na poziomie około 15 mld dolarów. Co więcej, okazuje się, że w dniu zapowiedzi nałożenia kary akcje firmy ruszyły w górę.