Dogodilo se i to – dugo očekivana kazna za kršenje GDPR-a konačno je izrečena. Britanski ICO kaznio je British Airways u iznosu 20 milijuna funti zbog kršenja GDPR-a, konkretno dvaju temeljnih načela – sigurnosti i pouzdanosti.

Podsjetimo se, u srpnju 2019. godine ICO je najavio da namjerava kazniti British Airways zbog kršenja GDPR-a koje je povezano sa sigurnosnim incidentom o kojemu je BA obavijestio ICO godinu dana ranije, u rujnu 2018. Predmetni incident rezultirao je krađom osobnih podataka oko 429 tisuća BA kupaca i osoblja, uključujući imena, adrese, brojeve kreditnih kartica i CVV brojeve. ICO tereti BA zbog toga što nisu prevenirali taj incident, iako su imali na raspolaganju potrebne resurse, te što incident nisu pravovremeno prepoznali i na njega reagirali.

Prema tadašnjim najavama, kazna je trebala biti veća od čak 200 milijuna funti! Iako je izrečena kazna čak deset puta manja od najavljene, teško je ne složiti se s odlukom ICO-a nakon što su objavili 114 stranica “dug” penalty notice od kojih na čak 50 stranica objašnjavaju kako su izračunali iznos kazne.

Znači li to da uskoro možemo očekivati izricanje još kazni od strane ICO-a, npr. u slučaju Marriott International “teškom” 110 milijuna funti? Vjerojatno da. U bilo kojem slučaju, izricanje kazne British Airwaysu je pozitivan pomak iz perspektive zaštite osobnih podataka te će zasigurno utjecati i na sve druge voditelje obrade čije poslovanje još uvijek nije u potpunosti usklađeno s GDPR.