Pentru o breșă asupra securității și confidențialității datelor personale a 383 Milioane de clienți, Marriott International urmeaza a fi sancționat cu amendă de 99 Milioane de lire pentru încalcarea prevederilor impuse de GDPR, de către Autoritatea de supraveghere britanica
Conform declarației din 9 Iulie 2019, a Autorității de supraveghere birtanice, aceștia intenționează să aplice o sancțiune cu amendă
în valoare de 99 200 396 de lire sterline pentru încălcarea Regulamentului general privind protecția datelor (GDPR) lanțului hotelier Marriott Ințernational
În urma unei investigații ample, autoritatea de supraveghere a emis o notificare cu privire la intenția sa de a amenda Marriott International pentru încălcarea Regulamentului general privind protecția datelor (GDPR).
Investigația cu privire la încălcarea prevederilor GDPR a survenit în urma producerii unei breșe informatice care a fost semnalată de către Marriott în noiembrie 2018. O varietate de date cu caracter personal cuprinse în aproximativ 339 de milioane de înregistrări ale clienților la nivel global au fost expuse incidentului, dintre care aproximativ 30 de milioane s-au referit la rezidenții din 31 de țări în Spațiul Economic European (SEE). Șapte milioane au fost legate de rezidenți din Marea Britanie.
La inceputul lunii Decembrie 2018, Marriott International a anunțat că hackerii au compromis baza de date cu 500 de milioane de invitați, atacatorii având la dispozitie acum o „combinație” de numere de pașaport, nume, adrese și detalii despre cărțile bancare, conform relatarilor ziarului DailyMail din Marea Britanie. (NR Ulterior s-a consatat faptul ca cifra este de 339 milioane de clienti).
Grupul hotelier stochează în mod obișnuit numele și vârsta copiilor oaspeților săi, comenzile pentru serviciile comandate in cameră, conturile de social media și detaliile angajatorului și împărtășește acest lucru în întreaga sa activitate în 150 de țări, inclusiv Venezuela, Gabon și Libia.
Prin bifarea unei casete acceptate online, oaspeții de la Marriott au consimțit să renunțe la aceste date și să recunoască că au citit politica de confidențialitate de 5.600 de cuvinte care a spus că „niciun sistem de stocare nu este 100% sigur”.
Se crede că vulnerabilitatea a început atunci când sistemele din grupul de hoteluri Starwood au fost compromise în 2014. Marriott a achiziționat ulterior Starwood în 2016, dar breșa de securiate, expunerea informațiilor despre clienți, nu a fost descoperită decât în 2018. Investigația Autorității de supraveghere a constatat că Marriott nu a reușit să asigure suficientă diligență când a cumpărat Starwood și ar fi trebuit să întreprindă mai multe măsuri tehnice și organizatorice pentru a-și asigura sistemele.
Din partea Autorității de supraveghere, Comisarul pentru informații, Elizabeth Denham, a declarat:
”GDPR clarifică faptul că organizațiile trebuie să fie responsabile pentru datele personale pe care le dețin. Aceasta poate include efectuarea unei verificări corecte în momentul realizării unei achiziții corporative și punerea în aplicare a unor măsuri adecvate de responsabilizare pentru a evalua nu numai datele personale dobândite, ci și modul în care acestea sunt protejate.”
”Datele personale au o valoare reală, astfel încât organizațiile au datoria legală de a-și asigura securitatea, la fel cum ar face și cu orice alt activ. Dacă acest lucru nu se întâmplă, nu vom ezita să luăm măsuri puternice atunci când este necesar pentru a proteja drepturile publicului.”
Marriott a cooperat cu Autorității de supraveghere în desfășurarea investigației și a adus îmbunătățiri în privința măsurilor de securitate de la apariția acestor evenimente.
Având în vedere amploarea și acoperirea teritorială a acestui incident, Autoritatea de supraveghere Britanică investighează acest caz în calitate de autoritate principală de supraveghere în numele altor autorități din UE pentru protecția datelor. De asemenea, au fost implicate și alte autorități de reglementare. În conformitate cu prevederile GDPR „one stop shop”, autoritățile de protecție a datelor din UE ale căror rezidenți au fost afectați vor avea, de asemenea, șansa de a contesta rezultatele investigației.
Pentru a gestiona corespunzător o breșă sau un incident de securitate, vă recomandăm cursul Catedrei Internaționale Onorifice Jean Bart, Incidente de securitate GDPR & Cybersecurity
Autoritatea de supraveghere britanică va lua în considerare cu atenție declarațiile făcute de companie și celelalte autorități de protecție a datelor înainte de a lua o decizie finală.
Marriott a oferit să cumpere Starwood în 2015, cu un an înainte de lansarea hack-ului, și a încheiat tranzacția de 13,6 miliarde de dolari în septembrie 2016.
Senatorul Tom Carper, liderul Partidului Democrat, a declarat că „incidentul ridică și întrebări cu privire la gradul în care se referă preocupările privind securitatea informatică și ar trebui să joace un rol în deciziile de fuziune și de achiziție”.
Cum întâmpinăm astfel de situații si investigațiile Autorității
Pentru a vă pregăti să tratați corespunzător și sa răspundeți în cazul unei investigații din partea Autorității de Supraveghere vă recomandăm parcurgerea Cursului Incidente de securitate GDPR & CyberSecurity – Abordare, Evaluare, Prevenție, Acțiune, Căi de atac – curs ce vă pregătește pentru astfel de situații sau aplelați la serviciile practicanților din domeniul protecției datelor personale – Consultanță de urgență SOS GDPR.
Citiți acum și despre
- amenda aplicată Unicredit pentru încălcarea GDPR
- cum să evitați sancțiuni pentru nerespectarea GDPR
- amendă aplicată World Trade Center pentru nerespectarea GDPR
- măsuri tehnice și organizatorice pentru a repecta GDPR
- amendă aplicată unei companii de consultanță GDPR pentru încălcarea GDPR
- amendă aplicată uni companii pentru dezvăluirea de date personale CNP si CCTV