典范和记录爆炸:经过两年的调查,英国的ICO发出英国航空公司,其最大的迄今为止(£20米)

When British Airways (“BA”) suffered a significant personal data breach in September 2018, just months after the coming into force of the EU General Data Protection Regulation (“GDPR”), all eyes were on the UK’s Information Commissioner’s Office (“ICO”). Would the ICO use the UK’s flagship airline as a “poster child” for post GDPR enforcement? Was this the moment that much-hyped fines of up to 4% of global turnover come to pass?

2019年7月8日,ICO宣布,它曾发布了罚款的意图通知,罚款1839万英镑(相当于2018年全球全球营业额的约1.5%)(“意向通知”)。然后,BA有机会向ICO发出陈述,就其拟议的调查结果和183.39亿英镑的罚款。尽管与ICO的调查完全合作,但改善了其安全安排,但它一直是持续的过程。

2020年10月16日,ico终于发表了一个罚款通知由于BA未能“,施加2000万英镑的罚款”以确保数据的适当安全性的方式处理其客户的个人数据。“罚款代表了意图通知中规定的水平的惊人令人惊讶的1.63亿英镑,包括合作折扣,并在一个由Covid-19难以袭击的行业中受到的金融困难的进一步折扣。

114页的惩罚通知使得有趣的阅读。It provides some important insights into the ICO’s approach to assessing the appropriateness of technical and organisational measures necessary to protect personal data, and as to how the ICO deployed its enforcement powers under the GDPR and UK Data Protection Act 2018. Most readers will be familiar with the facts already, but there is a primer at the bottom of this article if you need a refresher. The Penalty Notice will no doubt be scrutinised extensively over the coming weeks, but here are五个关键的外卖对于那些由ICO调查的人或可能是那些。

  1. 使用每种程序大道

ICO是一个稳定者,如任何其他的监管机构,必须遵循监管机构的代码,GDPR,DPA 2018。在从事执法行动时也有自己的监管行动政策。

ico在2020年10月6日对BA对袭击通知的回应的调查开始调查。7月8日,ICO宣布已经发出了对BA的罚款(“意向通知”)发出的意图通知。意向通知包括拟议罚款183.39万英镑。

为了回应意向通知,BA提交了一套书面陈述。但是,它没有询问ico如果它可以提出口头提交 - 这是一个可以非常有效的程序。BA的书面陈述专注于i)关于ICO对网络安全事件和BA安全景观的评估的技术论点,以及ICO对执法权的使用。罚款通知表明,BA的法律团队通过了彻底和良好的理由方法,以挑战ICO,而不仅仅是使用数据隐私和网络安全地面,而且还采用了适用于ICO的公法原则。

此外,BA利用了这一事实,即这是一个复杂的国际调查与ICO作为领导欧盟监督机构,并成功地说服ico授予其进一步的机会提交和陈述。

BA也说服了ICO,需要在Covid-19对BA的财务状况的财务影响方面进一步听取。最近的ICO不太可能巧合公布了其他指导关于在Covid-19大流行期间如何接近监管。在BA的情况下,这导致了400万英镑的罚款水平降低。

所有这些程序和法律挑战毫无疑问地影响了BA最终面临的罚款水平,并且他们在隐私空间面临执法行动时仔细考虑挑战途径的重要性。

  1. 从183亿英镑到20米的旅程

许多评论员正确地专注于罚款水平,从1.83亿英镑到2000万英镑。ICO详细解释了其监管行动政策和GDPR第83条如何制定计算财务处罚框架,包括:

  • 侵权的性质,重力和持续时间以及受影响的数据受试者的数量和损害水平;
  • 侵权的故意或疏忽特征;
  • 控制器或处理器采取的任何行动,以减轻数据受试者遭受的损害;
  • 根据第25条和第32条,控制员或处理器的责任或处理器的责任程度考虑到他们所实施的技术和组织措施;
  • 控制器或处理器的任何相关的先前侵犯;
  • 与监督机关的合作程度,以纠正侵权并减轻侵权可能的不利影响;
  • 受侵权影响的个人数据类别;和
  • 是否提交了监管通知。

神秘地说,ICO只是说明在这些考虑因素之后,罚款金额为3000万英镑。罚款通知随后迅速迈进,由于BA与ICO调查的合作,它将获得30万英镑(低至2400万英镑)的20%折扣。然后,ICO继续承认Covid-19对BA的财务影响,并提供400万英镑(低至20,000万英镑)的进一步折扣。

ICO没有,在任何阶段都没有把握为什么在2019年7月8日至今的价格明显下降的标题罚款的荨麻。它只是指出,在分析这些因素之后,专员确定了3000万英镑的罚款是“适当反映违约的严重性,并考虑到罚款的需要是有效的比例和讨厌。“这是否意味着最初的额定罚款18339万英镑是不合适和不成比例的,如果是的话,为什么这样的身材都会有所生动?缺乏任何真正的解释,以考虑施加这种实质性的罚款,然后减少它为企业创造了真正的歧义和不确定性。

  1. 语言重要 - 你的和他们的

这项调查似乎基本上是在书面陈述和批发的基础上进行的。罚款通知用BA的书面陈述提取物,其中一些将被索赔人扣押,希望追求个人违约后的补偿赔偿金(以及已经是)的巴拉(以及那些已经存在的人)。

ICO对BA对该事件的解释的评估是有时的,无论如何。例如,刑罚通知是指ico所说的BA的陈述“琐碎的是严重的失败“包括参考BA的断言,即信用卡违规是”一个完全普遍的现象“因此”一个不可避免的生活事实“(7.12(c))。很难知道这些报价是否脱离了背景,但他们不读得很好,无疑将支持索赔人的索赔。

ICO还拒绝了BA对遭受痛苦遭受的数据受试者的可能性的解释“本质上不太可能“。ICO发现消费者在学习滥用其付款数据时会受到痛苦,无论BA所采取的任何补救措施,如报销,数据科目可能仍然会遇到痛苦。

随着英国的集体行动(类似于课程行动),在面对英国法院的消费者索赔时,这些陈述可能会对BA有问题。它是对正在调查的组织提醒,以密切关注其提交给监管机构的语言。他们应该始终用更广泛的观众起草。

  1. “考虑合作”的重要性

任何企业都应该与其监管机构有良好的关系,无论是数据,财务还是其他方式,而且它永远不会比面临执法行动更重要。然而,从历史上看,与其他“严重”,监管机构相比,企业似乎对数据监管机构进行了更多的Laissez-Faire方法。

虽然ICO是监管机构,但组织有责任与其合作,特别是在个人数据违约之后,必须仔细考虑合作以反映任何违规后调查的重大风险。危机过程中的错误只是太常见,并且可以通过与监管机构过度分享的热情来容易地复杂化。

时间又一次,企业志愿者信息,并采用过度积极主动和可容纳的方法,只会邀请更多的问题而不是被问到。如果企业有效地管理新制度下的风险,则需要在业务的思考方式中的文化转变是必要的。

在这种情况下,虽然BA与ICO合作,但它也在必要和适当时从事推回和挑战。这导致合作折扣(占标题罚款的20%),同时还原标题罚款。合作很重要,但经过考虑的合作至关重要,令人震惊的适当余额将对执法成果产生重大影响。

  1. 执法不会在真空中发生

BA是英国的旗帜运营商航空公司。由于全球Covid-19大流行,这是一项重大的国家业务,遭受严重的经济困难。2020年9月24日,ICO发表了一种“响应冠状病毒大流行的更新的监管方法”。

In this document the ICO states that, when taking enforcement action, it will take into account a) whether an organisation’s non-compliance results from the coronavirus pandemic, and b) will consider the economic impact and affordability of fines—meaning the level of fines will likely be reduced.

虽然有些人会由于BA的经济困难而减少400万英镑,但鉴于Covid-19对BA的业务运营和盈利能力,鉴于BA的经营业务和盈利能力,鉴于ICO肯定是正确的,而Ico肯定是正确的。

一个事实快照

  • 攻击者使用第三方承包商的凭据获得访问权限。
  • 攻击者维护了在2018年6月22日和9月5日之间未被发现的系统内的能力,并使用低级访问在BA网络中升级权限。
  • 除了数据exfiltration之外,攻击者还将用户流量从英国航空公司网站转移到欺诈性网站,攻击者能够利用用户凭证 - 包括信用卡信息和其他细节实时。
  • 共有429,612个数据受试者受到影响。
  • 受影响的个人数据类别包括名称,地址,卡号,CVV代码,PIN码,用户名和密码。特别关注的是暴露完全未加密的财务信息。
  • BA在2018年9月5日发现违约,并于2018年9月6日通知ICO(需要两年多的时间才能从通知到最终决议)。
  • BA充分与ICO的调查完全合作,并改善了其安全安排。