Brytyjski organ ds. ochrony danych osobowych (The Information Commissioner’s Office – ICO) nałożył – kolejną w ostatnim czasie – gigantyczną karę. Tym razem kara została nałożona na znaną sieć hotelarską – Marriott International Inc. Kwota robi wrażenie, bo jest to 18 400 000 funtów (niemal 94 000 000 zł). Warto zauważyć jednak, że brytyjski regulator początkowo rozważał nałożenie znacznie wyższej kary, bo w wysokości nawet 99 000 000 funtów (ponad pół miliarda złotych).
ICO decydując o ostatecznej wysokości kary – wziął pod uwagę prośby ukaranego administratora o zmniejszenie kary w związku z wpływem pandemii COVID-19 na jego sytuację ekonomiczną.
Brytyjski organ zamierza nałożyć pół miliarda złotych kary na Marriott International
Kara na spółkę Marriott została nałożona zaledwie dwa tygodnie po tym, jak ICO ukarał linię lotniczą British Airways kwotą 20 000 000 (ponad 100 milionów złotych) za niewłaściwe zabezpieczenie danych osobowych ponad 400 000 klientów (pisaliśmy o tym TUTAJ – https://gdpr.pl/aktualnosci/linie-lotnicze-british-airways-nie-uniknely-wysokiej-kary). Są to dwie najwyższe kary pieniężne nałożone przez ICO na podstawie przepisów RODO.
Cyberatak jeszcze z 2014 r.
Sprawa ma swoje początki w 2014 r., kiedy to bliżej nieustalona osoba lub osoby dokonały cyberataku na systemy informatyczne spółki Starwood Hotels and Resorts Worldwide Inc. (podmiot wchłonięty przez sieć Marriott). Szacuje się, że w wyniku tego zdarzenia w niepowołane ręce trafiło niemal 339 000 000 rekordów zawierających dane osobowe gości sieci z całego świata. Dokładna liczba osób poszkodowanych nie jest znana. Dla jednego gościa hotelowego mogło istnieć kilka rekordów. ICO poinformował, że siedem milionów rekordów dotkniętych atakiem hackerskim dotyczyło obywateli Wielkiej Brytanii.
Regulator ustalił w toku postępowania wyjaśniającego, że sposób działania hakera był bardzo przebiegły. Zainstalował on w aplikacji systemu sieci Starwood Hotels fragment kodu, który umożliwiał mu zdalny dostęp do informacji zawartych w systemie oraz edycję znajdujących się w nim danych. Jednocześnie, za pośrednictwem złośliwego oprogramowania, zapewnił sobie dostęp do systemu jako użytkownik uprzywilejowany. Jakby tego było mało, haker następnie wdrożył kolejne narzędzia teleinformatyczne, których zadaniem było zgromadzenie wszelkich niezbędnych danych do logowania. W wyniku tych działań, uzyskał on dostęp do bazy danych klientów sieci i wyeksportował ją.
W wyniku cyberataku, z sieci informatycznej administratora wyciekły dane osobowe w postaci imion, nazwisk, adresów e-mail, numerów telefonów, niezaszyfrowanych numerów paszportów, informacji dotyczących przyjazdu i wyjazdu gościa, statusu gościa (np. VIP) i numeru członkowskiego w programie lojalnościowym.
Kara za naruszenia po 25 maja 2018 r.
Co ciekawe, zarówno atak hackerski, jak i związany z nim wyciek danych osobowych gości hotelowych nie został wykryty aż do września 2018 r. Wówczas sieć Starwood Hotels została przejęta przez ukaranego administratora. To właśnie ten ostatni zgłosił naruszenie ochrony danych do brytyjskiego organu nadzorczego w listopadzie 2018 r., tj. krótko po przejęciu sieci Starwood Hotels.
Przeprowadzone przez ICO postępowanie wyjaśniające wykazało jednak, że ukarany gigant nie wdrożył odpowiednich środków technicznych i organizacyjnych mających na celu ochronę danych osobowych przetwarzanych w systemach teleinformatycznych, zgodnie z wymogami RODO.
Warto zauważyć, że postępowanie brytyjskiego regulatora dotyczyło wycieku danych osobowych w związku z cyberatakiem z 2014 r., niemniej administrator został ukarany za nieprawidłowości stwierdzone u niego po 25 maja 2018 r., tj. po dniu, w którym zaczęło obowiązywać RODO. Można więc hipotetycznie założyć, że gdyby całe zdarzenie miało miejsce po tej dacie, kara – pomimo trwającej pandemii COVID-19 – mogłaby być znacznie wyższa.
Działania naprawcze
Brytyjski regulator poinformował, że ukarany administrator niezwłocznie po wykryciu wycieku skontaktował się z osobami, których dane dotyczą oraz z organem nadzorczym. Gigant podjął niezbędne działania zmierzające do zminimalizowania ewentualnych szkód poniesionych przez klientów. Ponadto, wdrożył on szereg rozwiązań, mających na celu poprawę bezpieczeństwa swoich systemów teleinformatycznych.
Sieć Marriott poinformowała natomiast, że jest świadoma powagi zagrożeń wynikających z przedmiotowego cyberataku, niemniej nie poczuwa się do odpowiedzialności za niewłaściwe zabezpieczenie danych osobowych w tamtym okresie. Zapewniła ona, że dba o prywatność i bezpieczeństwo danych osobowych swoich gości, zaś przejęty system sieci Starwood Hotels nie jest już używany. Pomimo tych okoliczności, ukarany gigant nie zamierza odwoływać się od decyzji ICO.
Postępowanie prowadzone w ramach procedury współpracy
Do naruszeń przepisów o ochronie danych osobowych przez ukaranego administratora doszło zanim Wielka Brytania ostatecznie opuściła Unię Europejską. ICO prowadził tym samym w tej sprawie postępowanie transgraniczne w imieniu wszystkich regulatorów z UE, będąc wiodącym organem nadzorczym. Oznacza to, że podejmowane w toku postępowania czynności oraz zastosowane sankcje zostały skonsultowane z innymi unijnymi organami ds. ochrony danych osobowych w ramach mechanizmu współpracy (art. 60 RODO).
Przestroga dla innych
Kara nałożona przez brytyjskiego regulatora może dać do myślenia wielu przedsiębiorstwom, planującym dokonanie dużych fuzji. Podmioty te powinny bowiem bacznie i ostrożnie przyglądać się systemom teleinformatycznym, które będą nabywać, w szczególności, gdy stanowią one ogromne bazy danych klientów. Jak widać w sprawie dotyczącej sieci Marriott, nigdy nie można wykluczyć ewentualności, że administrator będzie odpowiadać za naruszenia, które są skutkiem różnego typu zdarzeń sprzed wielu lat, nawet jeżeli nie dotyczą go one bezpośrednio.
Źródła:
https://mobilemarketingmagazine.com/marriott-18-4m-ico-fine-starwood-data-breach
https://www.bbc.com/news/technology-54748843
