Πρόστιμο 120.000 ευρώ στο αεροδρόμιο Heathrow για παραβίαση δεδομένων από χαμένο USB stick

Πρόστιμο ύψους 120.000 λιρών επέβαλε στο αεροδρόμιο Heathrow το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ICO) για παραβίαση δεδομένωνΣύμφωνα με τον ICO, στις 16 Οκτωβρίου 2017 ένας πολίτης βρήκε ένα USB memory stick, το οποίο είχε χάσει…

Πρόστιμο ύψους 120.000 λιρών επέβαλε στο αεροδρόμιο Heathrow το Γραφείο της Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ICO) για παραβίαση δεδομένωνΣύμφωνα με τον ICO, στις 16 Οκτωβρίου 2017 ένας πολίτης βρήκε ένα USB memory stick, το οποίο είχε χάσει ένας υπάλληλος της εταιρείας Heathrow Airport Limited (HAL)Το stick, το οποίο περιείχε 76 φακέλους και πάνω από 1.000 αρχεία, δεν ήταν κρυπτογραφημένο ή προστατευμένο με κωδικό πρόσβασης.

Ο πολίτης είδε το υλικό που περιλάμβανε το stick σε μια τοπική βιβλιοθήκηΠαρόλο που λίγοι μόλις φάκελοι περιείχαν προσωπικά και ευαίσθητα δεδομένα, ιδιαίτερη ανησυχία προκάλεσε στην Αρχή ένα εκπαιδευτικό βίντεο το οποίο περιείχε λεπτομερή στοιχεία για δέκα άτομα, συμπεριλαμβανομένων των ονομάτων, των ημερομηνιών γέννησης, των αριθμών διαβατηρίων καθώς και λεπτομέρειες για 50 άτομα από το προσωπικό ασφαλείας των πτήσεωνΤο stick μεταβιβάστηκε σε μια εφημερίδα εθνικής εμβέλειας, η οποία έλαβε αντίγραφα των δεδομένων πριν επιστρέψει το stick πίσω στην HAL.

Η έρευνα του ICO διαπίστωσε ότι μόνο το 2% του εργατικού δυναμικού των 6.500 ατόμων είχε εκπαιδευτεί στην προστασία των δεδομένων.Άλλες ανησυχίες που διαπιστώθηκαν κατά τη διάρκεια της έρευνας αφορούσαν στη γενικευμένη χρήση αποσπώμενων μέσων κατά παράβαση των πολιτικών και των κατευθυντήριων γραμμών της HAL και των αναποτελεσματικών ελέγχων που εμποδίζουν τη λήψη προσωπικών δεδομένων σε μη εξουσιοδοτημένα ή μη κρυπτογραφημένα μέσαΗ HAL διενήργησε ορισμένες διορθωτικές ενέργειες μόλις ενημερώθηκε για την παραβίαση, συμπεριλαμβανομένης της αναφοράς του θέματος στην αστυνομία, ενεργώντας για τον περιορισμό των συνεπειών του συμβάντος και την πρόσληψη ενός ειδικού για την παρακολούθηση του διαδικτύου και του σκοτεινού ιστού (dark web)Η υπόθεση εξετάστηκε σύμφωνα με τις διατάξεις και τις μέγιστες κυρώσεις του νόμου περί προστασίας δεδομένων του 1998, πριν δηλαδή την εφαρμογή του GDPR.

πηγή: https://www.lawspot.gr/