Bakgrunnen for boten er et hackerangrep av selskapets hjemmesider, der informasjon om rundt 500.000 kunder kan ha kommet på avveie. Hackerangrepet foregikk i en periode på 6 uker høsten 2018, der hackerne blant annet fikk tak i kunders navn, adresse, og finansielle opplysninger slik som kredittkortnumre.
Kort tid etter sikkerhetsbruddet iverksatte British Airways flere tiltak for å informere og betrygge sine kunder angående angrepet, slik som store annonser med beklagelser i britiske aviser og lovnad om kundekompensasjon. Frem til dags dato er det ingen bevis som indikerer at angrepet på informasjonssikkerheten har ført til bedrageri av selskapets kunder. Til tross for iverksatte tiltak og mangel på bevis for bedrageri, har ICO varslet at de vil ilegge British Airways en bot tilsvarende 1,5% av selskapets årlige omsetning. Skulle det skje, vil boten bli den høyeste ICO har ilagt et foretak noensinne.
Bøtevarselet sender et signal til selskaper om at det ikke alltid er nok å reagere raskt og godt på brudd på informasjonssikkerheten for å unngå bøter. Enkelte brudd, slik som det foreliggende, er av en slik alvorlighetsgrad at det må sendes et tydelig signal om at det er vel så viktig med et kontinuerlig arbeid med informasjonssikkerheten som å reagere hurtig på et faktisk angrep. Det er nettopp slike forebyggende tiltak som sikrer at hackerangrep og situasjoner der personopplysninger er på avveie, ikke forekommer.
Det norske Datatilsynet er av den oppfatning at størrelsen på den ilagte boten fra ICO er begrunnet i at British Airways ikke har gjort nok for å verne om kunders personopplysninger. Særlig legges det vekt på opplysningstypen og omfanget av personopplysninger på avveie, herunder at det gjelder kompromittering av kredittopplysninger og at det berører et stort antall kunder over hele verden.
British Airways har 28 dager på å anke avgjørelsen til ICO.