Верховный суд Испании утвердил штраф в размере 361.208 ЕВРО, наложенный на авиакомпанию Иберия за утерю данных пассажиров

Постановление Верховного суда Испании отклоняет апелляцию, поданную авиакомпанией Иберия на решение испанского агентства по Защите данных (ИАЗД) о уплате авиакомпанией штрафа в размере 361.208 ЕВРО за утерю некоторых конфиденциальных документов в аэропорту Эль Прат дэ Барселона, включая персональные данные пассажиров. Данное решение было принято и вступило в силу в конце марта 2010 года.

Шестая секция отделения по административным судебным процессам и Верховный суд Испании отклонили апелляцию, поданную Иберией в ответ на постановление Государственного суда от 16 марта 2006, в котором был удовлетворен иск ИАЗД, поданный 8 июля 2004 года. Компании был назначен штраф в размере 3000 ЕВРО.

Высокий суд ратифицировал санкции против Иберии за нарушение закона о защите данных (LOPD). Компания была обязана уплатить штраф в размере 601 ЕВРО за мелкое правонарушение, 60101 ЕВРО за более серьезное правонарушение и 300506 ЕВРО за каждое серьезное нарушение закона о защите данных.

Суд в своем обращении заключил, что любая авиакомпания несет полную ответственность за сохранность персональных данных пассажиров, но несмотря на это соответствующие меры защиты этой информации, установленные правилами, действительными для всех операторов персональных данных без исключения, не были предприняты. В постановлении также было отмечено, что Иберии было разрешено передавать данные в другие компании.

Утечка произошла в августе 2002 года, когда рядом с аэропортом Эль рат дэ Барселона были найдены различные документы, содержавшие персональные данные пассажиров авиакомпании Иберия. Предоставляемая пассажирами информация заносится в компьютерную базу данных авиакомпании, которая далее отвечает за сохранность этих данных. В свою очередь Иберия заключила договор на доставку потерянного багажа с подрядчиком – компанией Caces, из которой и произошла утечка данных, переданных Иберией подрядчику для выполнения работ.

Ситуацию комментирует ведущий аналитик InfoWatch Николай Федотов: «Сумма штрафа, конечно, внушительная, хотя и не оглушительная. Но интервал между нарушением и наказанием (8 лет), по-моему, сводит на нет всю действенность взыскания. За это время среди работников компании вряд ли остались лица, непосредственно причастные к инциденту. Получается, что наказали не того, кто нарушил. 
Для сравнения: в России максимально возможный штраф на нарушение порядка защиты персональных данных составляет 10 тысяч рублей (ст.13.11 КоАП). Правда, порядок его наложения несколько проще и короче. А вот за саму утечку данных ответственности не установлено.

Как мы понимаем, нарушение установленного порядка обработки данных не всегда приводит к утечке, а утечка может произойти и при формальном соблюдении положенных мер». 
Источник