Na stronie internetowej Urzędu Rzecznika ds. Informacji (ICO) pojawiła się informacja
o zamiarze nałożenia kary w wysokości blisko 100 milionów funtów na Marriott International. Na razie jest to wstępne rozstrzygnięcie, a przed podjęciem ostatecznej decyzji ICO wysłucha wyjaśnień spółki oraz opinii innych organów z Unii. Treść informacji w języku angielskim, której tłumaczenie przedstawiono poniżej, jest dostępna tutaj: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/.
Oświadczenie w związku ze zgłoszeniem, dokonanym przez Marriott International, Inc’s do Amerykańskiej Komisji Papierów Wartościowych i Giełd informujące o tym, że ICO zamierza nałożyć na tą spółkę karę za naruszenie prawa ochrony danych.
Po przeprowadzeniu szczegółowego postępowania ICO wydał komunikat o zamiarze nałożenia na Marriott International kary w wysokości 99,200,396 funtów za naruszenie Ogólnego Rozporządzenia o Ochronie Danych (RODO).
Proponowana kara dotyczy incydentu internetowego, który został zgłoszony ICO przez Marriott
w listopadzie 2018 r. Na skutek incydentu narażone zostały różne dane osobowe zawarte w około 339 milionach rekordów na całym świecie, z których 30 milionów dotyczyło 31 krajów należących do Europejskiego Obszaru Gospodarczego (EOG). Siedem milionów dotyczyło rezydentów Wielkiej Brytanii.
Uznaje się, że podatność danych rozpoczęła się, gdy naruszono systemu grupy hoteli Starwood
w 2014 r. Następnie Marriott nabył Starwood w 2016 r., jednakże podatność informacji dotyczących klientów nie została odkryta do 2018 r. Postępowanie ICO wykazało, że Marriott nie dołożył wystarczającej staranności, kiedy kupił Starwood oraz, że powinien był zrobić więcej, aby zabezpieczyć swoje systemy.
Komisarz ds. Informacji, Pani Elizabeth Denham powiedziała:
„RODO wprost stanowi, że organizacje muszą być odpowiedzialne za dane osobowe, które posiadają. Może to obejmować dołożenie należytej staranności przy przejęciu oraz ustanowienie odpowiednich środków rozliczalności w celu oceny nie tylko tego jakie dane osobowe zostały przejęte, ale również jak są chronione”.
„Dane osobowe mają realną wartość, tak wiec organizacje mają obowiązek prawny zapewnić ich bezpieczeństwo, tak samo jak zabezpieczają inne zasoby. Jeżeli tak się nie stanie, nie zawahamy się podjąć zdecydowanych działań, tam gdzie to konieczne, aby ochronić prawa społeczeństwa”.
Marriott współpracował z ICO w ramach postępowania oraz ulepszył swoje zabezpieczenia odkąd omawiane wydarzenia wyszły na światło dzienne. Spółka będzie teraz miała okazję przedstawić swoje stanowisko wobec ICO, dotyczące proponowanych ustaleń oraz sankcji.
ICO prowadziło postępowanie w tej sprawie jako organ wiodący, w imieniu organów ochrony danych z innych państw członkowskich UE. Kontaktowało się również z innymi instytucjami regulacyjnymi. Zgodnie z postanowieniami RODO dotyczącymi mechanizmu „one stop shop”, organy ochrony danych z państw UE, których obywateli dotyczy sprawa, również będą miały okazję odnieść się do ustaleń ICO.
ICO uważnie rozpatrzy stanowisko spółki oraz innych organów ochrony danych, przed podjęciem ostatecznej decyzji.
Polecamy także:
Ponowny wyciek danych u hotelowego giganta
