DPO On Demand

Heathrow Airport Limited je zaradi kršitev svojih praks glede varstva podatkov dobil globo

Britanski pooblaščenec (ICO) je londonsko letališče Heathrow kaznoval z globo v višini 120.000 britanskih funtov (pb. 137.000 EUR), ker letališče ni zagotovilo, da bi bili osebni podatki v njegovi mreži ustrezno zavarovani.

Oktobra 2017 je nekdo našel USB-pomnilniško kartico, ki jo je izgubil delavec letališča. USB je vseboval 76 map in več kot 1.000 datotek in ni bila šifrirana ali zaščitena z geslom. Najditelj si je ogledal vsebino v lokalni knjižnici. Čeprav je število osebnih in občutljivih osebnih podatkov, shranjenih na USB, vsebovalo majhno količino vseh datotek, je bil zaskrbljujoč zlasti izobraževalni videoposnetek, ki je izpostavil podrobnosti desetih posameznikov, vključno z imeni, datumi rojstva, številkami potnih listov in podatki o 50 članih osebja za varnost letališča. USB je bil poslan v časopis, ki je izdelal kopije podatkov, preden je USB vrnil letališču.

Direktor ICO za preiskave, Steve Eckersley, je dejal:

"Zaščita podatkov bi morala biti na letališču Heathrowa zelo visoka. Toda naša preiskava je našla katalog pomanjkljivosti v standardih letališča, usposabljanju in njihovi viziji.

"Zaščita podatkov je naloga za upravo letališča in nujno je, da podjetja izvajajo politike, postopke in usposabljanje za zmanjšanje ranljivosti osebnih podatkov, ki so jim zaupani."

Preiskava ICO je pokazala, da je bilo le dva odstotka od 6.500 zaposlenih usposobljenih za varstvo podatkov. Drugi pomisleki med preiskavo so vključevali razširjeno uporabo odstranljivih medijev v nasprotju s politikami letališča in njihovimi usmeritvami ter neučinkovit nadzor, ki bi preprečil nalaganje osebnih podatkov na nepooblaščene ali nešifrirane nosilce podatkov. Letališče je izvedlo več sanacijskih ukrepov, vključno z vključitvijo zunanjega strokovnjaka za spremljanje za odkrivanje hekerskih napadov. Zadeva je bila obravnavana še v skladu z določbami in najvišjimi kaznimi iz Zakona o varstvu podatkov iz leta 1998, in ne po GDPR, saj se je kršitev zgodila pred uveljavitvijo GDPR.

Dostop do članka