Theo Guardian, ngày 24/10 vừa qua, hãng hàng không Cathay Pacific đã ra tuyên bố hiện có 9,4 triệu tài khoản của khách hàng đã bị rò rỉ thông tin cá nhân. Những thông tin bị tiết lộ chủ yếu liên quan đến tên khách hàng, số hộ chiếu, số định danh (số chứng minh), địa chỉ email và thẻ tín dụng. 

TGĐ của Cathay Pacific, ông Rupert Hogg đã lên tiếng về vấn đề này và cho rằng: “Hiện Cathay Pacific chưa có chứng cứ về thông tin cá nhân của khách hàng bị sử dụng sai mục đích, Cathay cũng đang trong quá trình liên hệ với khách hàng và có biện pháp khắc phục để bảo vệ thông tin của khách”.

Cathay Pacific cũng đã tiến hành điều tra và thông báo cho cảnh sát sau khi Bộ phận Công nghệ thông tin của Hãng này (IT Operation) xác nhận, đã có sự truy cập trái phép vào hệ thống cơ sở dữ liệu của Cathay đối với: tên khách hàng, quốc tịch, ngày sinh, điện thoại, địa chỉ email, địa chỉ, số hộ chiếu, mã số định danh (số chứng minh), thông tin về khách hàng thường xuyên, và lịch sử chuyến bay của khách hàng. 

CEO của Cathay Pacific không tiết lộ về thông tin bồi thường cho khách hàng bị rò rỉ thông tin cá nhân. 

Trong khi đó, British Airways trong tháng 9/2018 cũng tuyên bố chi tiết về thông tin cá nhân của 380,000 khách hàng đặt chỗ thông qua website và mobile phone app cũng bị đánh cắp.

Luật bảo vệ dữ liệu cá nhân của Liên Minh Châu Âu (GDPR) có hiệu lực kể từ ngày 25/05/2018 thì việc rò rỉ thông tin cá nhân của Cathay Pacific có bị điều chỉnh bởi Luật này hay không?

Theo ý kiến của một số công ty luật, Cathay Pacific là pháp nhân không được thành lập tại Liên Minh Châu Âu (EU) nên GDPR chỉ được áp dụng khi Cathay Pacific cung cấp dịch vụ vận chuyển cho khách hàng có lộ trình đến EU theo quy định tại Điều 3.2 của GDPR. Do bị ràng buộc bởi quy định của GDPR, Cathay Pacific có nghĩa vụ thông báo cho Cơ quan giám sát của EU trong vòng 72 giờ kể từ thời điểm nhận biết về việc thông tin cá nhân của khách hàng bị xâm phạm (Điều 33 của GDPR) và thông báo cho chủ sở hữu dữ liệu cá nhân (Điều 34 của GDPR). Tuy nhiên, Cathay Pacific đã không thực hiện nghĩa vụ thông báo trong vòng 72 giờ cho Cơ quan giám sát kể từ thời điểm nhận biết được xâm phạm, bởi vì có chứng cứ cho rằng việc rò rỉ thông tin cá nhân đã diễn ra từ tháng 6 năm 2018. 

Công ty luật SPG của Hong Kong cho rằng, mức độ tiết lộ thông tin cá nhân của Cathay Pacific nghiêm trọng hơn so với việc British Airways bị đánh cắp thông tin cá nhân tháng 9/2018. Theo tính toán của Công ty luật SPG, khả năng mỗi chủ sở hữu dữ liệu cá nhân sẽ được bồi thường 1,500 Bảng Anh theo Điều 82 của GDPR. Ngoài ra, Cathay Pacific còn có thể bị phạt theo quy định của GDPR với mức phạt lên đến 10 triệu EURO hoặc 2% doanh thu toàn cầu (tùy thuộc vào mức nào cao hơn).

Từ vụ việc Cathay Pacific bị đánh cắp hoặc rò rỉ thông tin cá nhân của khách hàng thì việc tăng cường công tác bảo mật thông tin tại VNA là rất cần thiết. Mỗi CBNV trong TCT cần nâng cao nhận thức về nhiệm vụ và nghĩa vụ bảo mật thông tin theo quy định của GDPR để từ đó thực hiện tốt các quy định này, nhằm tránh những rủi ro pháp lý xảy ra trong tương lai.