GDPR Gizlilik Yasası, İhlal Mağdurlarının ‘Maddi Olmayan Zarar’ Tazminatı Almasına İzin Veriyor
British Airways, geçen hafta bir bilgisayar korsanının 380.000 işlemle ilişkili ödeme kartı verilerini çaldığı yönündeki uyarısının ardından İngiltere mahkemesinde 500 milyon sterlinlik (650 milyon dolar) toplu dava ile tehdit edildi. ülke (bkz. Hacker, British Airways Müşteri Verileriyle Uçup Gitti).
Ayrıca bakınız: İsteğe Bağlı | Bir Yanıt Sağlayıcı Seçmenin Gerçekleri
İhlal edilen bir işletmenin Birleşik Krallık’ta bir toplu dava ile karşı karşıya kalma olasılığı, AB’nin Mayıs ayında tam olarak yürürlüğe giren Genel Veri Koruma Yönetmeliğine bağlıdır. GDPR, kuruluşların şüpheli herhangi bir ihlal hakkında ilgili makamları hızlı bir şekilde (genellikle 72 saat içinde) bilgilendirmesini ve uygun veri güvenliği kontrollerini sürdürmesini zorunlu kılmakla birlikte, Avrupalılara yeni tazminat hakları da verir.
ABD’li hukuk devi Sanders Phillips Grossman’ın Birleşik Krallık şubesi SPG Law, Pazartesi günü yaptığı açıklamada, havayolu uzlaşmayı seçmediği takdirde, toplu davanın İngiliz versiyonu olan 500 milyon sterlinlik grup davasını başlatmayı planladığını söyledi.
SPG Law’un bir ortağı olan avukat Tom Goodhead yaptığı açıklamada, “Maalesef bu, BA’nın BT sistemlerindeki bir dizi feci arızanın sonuncusu” dedi. “Ancak önceki hatalardan farklı olarak, bu veri ihlali yaklaşık 400.000 kişi için ciddi rahatsızlık ve sıkıntıya neden oldu. BA, 2018 Veri Koruma Yasası uyarınca maddi olmayan zararı tazmin etmekle yükümlüdür ve SPG Yasası onları sorumlu tutacaktır.”
Veri Koruma Yasası, İngiltere’nin ulusal veri gizliliği yasasıdır. Mayıs ayında yürürlüğe giren en son sürüm, bunlarla sınırlı olmamak üzere tüm GDPR gerekliliklerini içerir.
BA, Doğrudan Zararları Karşılama Sözü Veriyor
British Airways dava hakkında yorum yapmaktan kaçındı. Ancak daha önce, 15 gün süren ihlalin tüm kurbanlarının hiçbir cepten kayıpla karşılaşmayacağını söylemişti.
Havayolu, Information Security Media Group’a yaptığı açıklamada, “Web sitesine, ba.com’a ve havayolunun mobil uygulamasına yapılan bu suçlu siber saldırı sonucunda hiçbir British Airways müşterisi çaresiz kalmayacak.” “Havayolu, müşterilerin British Airways’ten bu verilerin çalınması nedeniyle doğrudan maruz kaldıkları mali kayıpların tazmin edileceğini garanti etti ve müşterilerin 22: 58 BST 21 Ağustos 2018 ve 21:45 BST 5 Eylül 2018.”
Dava Manevi Zarar Tazminatı İstiyor
Perşembe günü British Airways, müşterilerini bilgisayar korsanlarının 380.000 bilet satın almak veya değiştirmek için kullanılan ödeme kartı bilgilerini çaldıkları konusunda uyarmaya başladı. Havayolu, ödeme kartı düzenleyicileri tarafından karşılanmayan müşterilerin yaşadığı dolandırıcılık kayıplarını karşılama sözü verdi.
Ancak SPG Kanunu, GDPR kapsamında ihlal mağdurlarının daha fazla tazminat alma hakkına sahip olduğunu ve BA’nın mağdurlara ihlalden kaynaklanan “rahatsızlık, sıkıntı ve özel bilgilerinin kötüye kullanılması” nedeniyle tazminat ödemesi gerektiğini söylüyor.
GDPR özel olarak şunu belirtir: “Bu düzenlemenin ihlali sonucunda maddi veya manevi zarara uğrayan herhangi bir kişi, uğradığı zarar için kontrolörden veya işleyiciden tazminat alma hakkına sahiptir.”
SPG Law, kısmen ihlal sırasında ödeme kartı bilgilerinin güncel olması nedeniyle her bir ihlal kurbanının 1.250 £ (1.600 $) kadar talepte bulunabileceğine inandığını söylüyor.
SPG Yasası, British Airways’in uzlaşmamayı seçmesi halinde, birden fazla kurbanın iddialarını tek bir davada birleştirmesine izin verecek bir grup dava kararı için mahkemeye başvuracağını söylüyor.
ABD İhlal Davaları Neden Genellikle Başarısız Olur?
Bir veri ihlalinin Birleşik Krallık’ta bir toplu dava tehdidine yol açtığını görmek, GDPR sayesinde mümkün olan bir dönüm noktasıdır. Ancak toplu davalar başka yerlerde yaygındır.
Gerçekten de SPG Law, ABD’deki hukuk firmalarının Anthem, Target, Wendy’s ve Yahoo da dahil olmak üzere bir dizi büyük ABD veri ihlali davasında tüketiciler için başarılı bir şekilde tazminat kazandığını söylüyor. Ayrıca Equifax, Excellus BlueCross BlueShield ve Premera Blue Cross gibi firmalardan gelen hak taleplerini takip etme sürecindeler.
Ancak Amerika Birleşik Devletleri’ndeki tüketici veri ihlali davalarının büyük çoğunluğu, hakimlerin “davacıları temsil eden avukatlar grubu”nun “davacılar barosu” olarak bilinen olay kapsamında mağdurların gerçek bir yaralanmaya veya yaralanma tehdidine maruz kaldığını kanıtlayamadığına karar vermesinin ardından reddedildi. Madde III ayakta.
Hukuk uzmanlarına göre, bir veri ihlaline maruz kalan kuruluşlar, kısmen dezavantajlı bir emsal oluşturmaktan kaçınmak için, genellikle aleyhlerine gidiyor gibi görünen davalarda bir uzlaşma ödeyecekler. İhlal edilen kuruluşlar uzlaşırsa, tüketiciler adına hareket eden avukatlar, genel uzlaşma değerinin yüzde 60’ına kadarını alırlar (bkz. Neden Bu Kadar Çok Veri İhlali Davası Başarısız).
BA’dan özür
Bu arada British Airways, ihlal için müşterilerinden özür diledi. “Bu olayın endişe ve rahatsızlık yaratacağını anlıyoruz” diyor. “Etkilenen tüm müşterilerle özür dilemek için iletişime geçtik ve önümüzdeki günlerde onları güncellemeye devam edeceğiz. British Airways, ödeme kartı bilgilerini isteyen hiçbir müşteriyle iletişime geçmeyecek, bu tür talepler polise ve ilgili makamlara bildirilmelidir. “
Havayolu soruşturmasının devam ettiğini söylüyor. “British Airways, polis ve siber uzmanlarla birlikte soruşturmaya devam ediyor ve veri hırsızlığını Bilgi Komiserine bildirdi.”
Bilgi Komisyonu Ofisi, Birleşik Krallık’ın veri gizliliği yetkilisidir ve GDPR’nin uygulanmasından sorumludur. ICO, ihlalle ilgili soruşturmalarının devam ettiğini söylüyor.