TalkTalk和BA数据泄露–持续的余震

ICO根据GDPR对英国航空公司进行了创纪录的罚款之后,BCL律师事务所金融犯罪团队的法律助理朱利安·海斯(Julian Hayes),合伙人和格瓦拉·莱科克(Guevara Leacock)认为,潜在的非常昂贵的团体声称正在准备民事诉讼。

信息专员尚未对2020年10月对英国航空(BA)施加的罚款尘埃落定,但该公司现在面临着英国历史上最大的一次数据泄露案。 2014/15年电信巨人遭受网络攻击后,TalkTalk也提出了类似的要求,尽管在这种情况下受影响的人数要少得多。不仅面临高额的监管罚款和声誉损失,而且还面临因数据泄露而导致的昂贵的民事诉讼的威胁,数据控制器和处理器必须承受压力,以检查其是否在保护客户方面做得足够’ personal data.

安全失效

是什么导致了BA和TalkTalk索赔? 2014年,电信承包商TalkTalk遭受了严重的数据泄露,当时印度的承包商获得了未经授权访问其21,000名客户的个人数据的权限。 2015年10月,公司遭受了一次网络攻击,超过156,000个客户的数据被盗,其中包括数千个客户的银行帐户详细信息,这是进一步严重的数据泄露事件。在2018年的BA事件中,这家旗舰航空公司受到黑客的攻击,这些黑客访问了超过500,000客户的个人数据。 ICO对TalkTalk处以500,000英镑的罚款,这在当时是数据监管机构可能施加的最高罚款,而BA甚至在大幅折扣后也收到了可观的2000万英镑罚款。

从GDPR到英国GDPR

GDPR第82条于2018年推出,为因数据泄露而遭受损害的人提供了欧盟范围内的立法机制,以寻求相关数据控制器/处理器的赔偿。尽管英国于2020年12月31日正式离开欧盟,但那些希望我们离开欧盟会导致立即减少数据保护义务的人感到失望。脱欧前的数据保护框架在很大程度上仍然完好无损,第82条已复制到现已生效的英国版本的GDPR中。

痛苦的民事索赔风险加剧了对数据控制者和处理者保持警惕和积极主动地保护其客户的个人数据的需求。

第82条规定,因数据泄露而遭受实质性或非实质性损害的人有权要求赔偿。要找到一个索赔就不必付出经济上的损失,仅需解决就够了,这有可能为各种富有想象力的索赔开辟道路。而且,因数据泄露而遭受损害的任何人都可以提出索赔,将机会扩展到直接受数据泄露影响的数据主体之外。还存在很少使用的规定,允许适当指定的代表机构代表数据主体提出索赔,这是政府目前正在咨询的领域,并且有望在将来进行扩展。

为了确保对索赔人进行有效赔偿,GDPR规定,如果在同一处理过程中涉及的控制者和处理者均对任何损害承担共同责任,则它们各自承担连带责任。尽管有过错,但仍可对他们提出索赔,尽管据此追究赔偿责任的人仍可通过第三方程序向直接负责的人追讨损害赔偿。

安全第一

法律先例指出,遇险损害赔偿金从750英镑到2500英镑不等,据称,TalkTalk和BA数据泄露的个别受害人最高可分别获得1000英镑和2000英镑的赔偿。但是,数据控制器和处理器在这种相对较小的奖项中不应感到安慰。大量的小额奖励仍然对公司的资产负债表造成不利影响。团体索赔可能相当可观–如果在BA诉讼中的每位索赔人都成功,则该公司将面临8亿英镑的赔偿金(以及自己支付的诉讼费)。即使在保险公司接手的情况下,对于在集体诉讼中“排第二”的公司,保费也可能会大幅提高。

 

痛苦的民事索赔风险加剧了对数据控制者和处理者保持警惕和积极主动地保护其客户的个人数据的需求。英国GDPR(另一位英国退欧幸存者)的第5(1)(f)条要求对个人数据的处理应确保适当的安全性,包括防止未经授权或非法处理的意外损失等。确保适当的风险级别的适当技术和组织措施是基准。对个人数据进行假名化和加密,对个人数据的机密性的保证,对数据处理机制的有效性和安全性的定期评估,在发生违规事件时的应变能力是关键。实际措施包括将员工对应用程序,数据和工具的访问限制于需要的人,对IT系统进行严格的测试,实施最佳实践的员工培训以及通过多因素身份验证保护员工和第三方帐户。

 

企业的好名声是其最有价值的资产之一,严重的数据泄露会不可避免地损害企业声誉。负责任的公司-既保护个人的个人数据又保护自己的未来的公司-将BA和TalkTalk民事诉讼视为提醒我们,必须认真对待数据安全以及不这样做的后果。

发表评论