A cég éves árbevételének jelentős részét elviheti a büntetés

Minden cégvezető társamnak szeretnék jó napot kívánni! Olyan jót, amikor nem történik vele semmi komoly incidens, amiért nem tett volna meg mindent azért, hogy ne fizessen súlyos büntetést.

183 millió GBP bírságot kapott a British Airways a brit adatvédelmi hivataltól (ICO), írja a BBC. Az ügy előzménye, hogy a légitársaság internetes oldalait egy hacker támadás érte, ami miatt több mint félmillió ember adatait tudták ellopni a támadók. A társaság szerint útlevél adatok nem kerül ki, a hiba elhárítását pedig azonnal megkezdték, valamint az utasok számára kártérítését is ígértek.

Ez azonban az ICO-t nem hatotta meg, illetve csak annyiban, hogy nem a lehető legmagasabb bírságot szabták ki a vállalkozásra.

A GDPR ugyanis azt írja elő, hogy minden személyes adatot olyan védelmi intézkedésekkel szükséges ellátni, ami az ilyen jellegű eseteket gyakorlatilag ki tudja zárni. A British Airways-nél ezzel szemben csapnivaló volt az informatikai megoldás, az még a minimálisan elvárható szintű védelemmel sem rendelkezett, miközben rengeteg szabályzattal és jól felkészült jogász csapattal várták a csodát, azt, hogy a sérülékeny rendszer hibáira nem fognak lecsapni az erre specializálódott támadók, avagy a lelkes amatőrök.

Ahogy azonban a fentiekből látható, a GDPR a legkevésbé sem a jogi megfeleltetésről szól, hanem valami egészen másról.

A GDPR betartása nem azt jelenti, hogy sajtfecniket vásárolnak a vállalkozások, vagy felteszik a szabályzatokat a polcra, esetleg aláírogatnak, vagy aláírogattatnak olyan papírokat, amik a GDPR alapján mit sem érnek. A megoldás az, hogy a vállalkozás működését és a kezelt adatok biztonsági igényét kell meghatározni, és ehhez kell az egész informatikai rendszert, valamint az adatkezelést igazítani.