İngiltere merkezli havayolu şirketi British Airways (BA), müşterilerinin kişisel bilgilerinin korunması ile ilgili güvenlik sistemlerinin geçen yıl ihlal edilmesinden dolayı 230 milyon dolar para cezasına çarptırıldı.
İngiliz-İspanyol ortaklığı IAG holdinge (International Airlines Group) ait şirket, denetleme kurumu Information Commissioner’s Office ICO (Birleşik Krallık Bilgi Komiserliği Ofisi) tarafından verilen cezayı “şaşkınlık ve hayal kırıklığı” ile karşıladığını açıkladı.
British Airways, güvenlik sistemi ihlalinin nedenini internet sitesine yapılan siber saldırıya bağladı.
ICO ise BA sitesine giren yolcuların sahte bir siteye yönlendirildiğini ve 500 bin müşteriye ait özel bilgilerin saldırganlar tarafından ele geçirildiğini söyledi.
ICO, BA’ya verilen cezanın bugüne dek verilmiş en yüksek ceza olduğunu vurguladı.
ICO yetkilisi Elizabeth Denham, “İnsanların kişisel bilgileri özeldir. Bu bilgi size teslim edilmişse onu korumanız gerekir. Bunun için gerekli adımların atılıp atılmadığını kontrol ederiz” dedi.
İlk olarak 6 Eylül 2018’de ortaya çıkan olayın ardından BA, 380 bin bilet satış işleminin etkilenmiş olduğunu, ancak çalınan verilerin seyahat veya pasaport bilgilerini içermediğini açıklamıştı.
ICO, güvenlik ihlalinin Haziran 2018’de başladığına ve şirketin zayıf güvenlik önlemleri nedeniyle müşterilerin isim, adres, banka kartı ve seyahat bilgilerinin çalındığına inanıyor.
BA’nın soruşturma sırasında yardımcı olduğu ve güvenlikle ilgili düzenlemelerinde gelişme kaydettiği vurgulanıyor.
İngiltere’de geçen yıl yürürlüğe giren yeni veri koruma yasası, şirketlerin müşterileriyle ilgili veri ihlallerini denetim kurumuna bildirmesini zorunlu kılıyor.
BA’ya verilen ceza, bu yasa kapsamında açıklanan ilk ve en yüksek ceza; aynı zamanda şirketin 2017 cirosunun yüzde 1,5’ine tekabül ediyor.
Yeni yasa, şirketlerin toplam cirosunun yüzde 4’üne kadar ceza verilebilmesini mümkün kılıyor.
1998 tarihli eski yasa kapsamında bugüne dek verilmiş en yüksek ceza ise 625 bin dolar ile Facebook’a, Cambridge Analytica skandalının ardından verilmişti.
BA’nın 28 gün içinde para cezasına itirazda bulunması bekleniyor.
Kesinleşen para cezalarından elde edilen gelir ise Avrupa’daki veri koruma denetim kuruluşları arasında paylaşılıyor.
Tek tek kişilerin de BA’dan tazminat talep etme hakkı bulunuyor.
Ancak BA bugüne dek böyle bir ödemeye dair herhangi bir açıklama yapmadı.