Lanțul hotelier Marriott – amenda de 99 Milioane de Lire pentru bresa GDPR

Pentru o breșă asupra securității și confidențialității datelor personale a 383 Milioane de clienți, Marriott International urmeaza a fi sancționat cu amendă de 99 Milioane de lire pentru încalcarea prevederilor impuse de GDPR, de către Autoritatea de supraveghere britanica

Conform declarației din 9 Iulie 2019, a Autorității de supraveghere birtanice, aceștia intenționează să aplice o sancțiune cu amendă
în valoare de 99 200 396 de lire sterline pentru încălcarea Regulamentului general privind protecția datelor (GDPR) lanțului hotelier Marriott Ințernational

În urma unei investigații ample, autoritatea de supraveghere a emis o notificare cu privire la intenția sa de a amenda Marriott International pentru încălcarea Regulamentului general privind protecția datelor (GDPR).

Investigația cu privire la încălcarea prevederilor GDPR a survenit în urma producerii unei breșe informatice care a fost semnalată de către Marriott în noiembrie 2018. O varietate de date cu caracter personal cuprinse în aproximativ 339 de milioane de înregistrări ale clienților la nivel global au fost expuse incidentului, dintre care aproximativ 30 de milioane s-au referit la rezidenții din 31 de țări în Spațiul Economic European (SEE). Șapte milioane au fost legate de rezidenți din Marea Britanie.

La inceputul lunii Decembrie 2018, Marriott International a anunțat că hackerii au compromis baza de date cu 500 de milioane de invitați, atacatorii având la dispozitie acum o „combinație” de numere de pașaport, nume, adrese și detalii despre cărțile bancare, conform relatarilor ziarului DailyMail din Marea Britanie. (NR Ulterior s-a consatat faptul ca cifra este de 339 milioane de clienti).


Grupul hotelier stochează în mod obișnuit numele și vârsta copiilor oaspeților săi, comenzile pentru serviciile comandate in cameră, conturile de social media și detaliile angajatorului și împărtășește acest lucru în întreaga sa activitate în 150 de țări, inclusiv Venezuela, Gabon și Libia.


Prin bifarea unei casete acceptate online, oaspeții de la Marriott au consimțit să renunțe la aceste date și să recunoască că au citit politica de confidențialitate de 5.600 de cuvinte care a spus că „niciun sistem de stocare nu este 100% sigur”.

Se crede că vulnerabilitatea a început atunci când sistemele din grupul de hoteluri Starwood au fost compromise în 2014. Marriott a achiziționat ulterior Starwood în 2016, dar breșa de securiate, expunerea informațiilor despre clienți, nu a fost descoperită decât în ​​2018. Investigația Autorității de supraveghere a constatat că Marriott nu a reușit să asigure suficientă diligență când a cumpărat Starwood și ar fi trebuit să întreprindă mai multe măsuri tehnice și organizatorice pentru a-și asigura sistemele.

Din partea Autorității de supraveghere, Comisarul pentru informații, Elizabeth Denham, a declarat:

”GDPR clarifică faptul că organizațiile trebuie să fie responsabile pentru datele personale pe care le dețin. Aceasta poate include efectuarea unei verificări corecte în momentul realizării unei achiziții corporative și punerea în aplicare a unor măsuri adecvate de responsabilizare pentru a evalua nu numai datele personale dobândite, ci și modul în care acestea sunt protejate.”

”Datele personale au o valoare reală, astfel încât organizațiile au datoria legală de a-și asigura securitatea, la fel cum ar face și cu orice alt activ. Dacă acest lucru nu se întâmplă, nu vom ezita să luăm măsuri puternice atunci când este necesar pentru a proteja drepturile publicului.”

Marriott a cooperat cu Autorității de supraveghere în desfășurarea investigației și a adus îmbunătățiri în privința măsurilor de securitate de la apariția acestor evenimente.

Având în vedere amploarea și acoperirea teritorială a acestui incident, Autoritatea de supraveghere Britanică investighează acest caz în calitate de autoritate principală de supraveghere în numele altor autorități din UE pentru protecția datelor. De asemenea, au fost implicate și alte autorități de reglementare. În conformitate cu prevederile GDPR „one stop shop”, autoritățile de protecție a datelor din UE ale căror rezidenți au fost afectați vor avea, de asemenea, șansa de a contesta rezultatele investigației.

Pentru a gestiona corespunzător o breșă sau un incident de securitate, vă recomandăm cursul Catedrei Internaționale Onorifice Jean Bart, Incidente de securitate GDPR & Cybersecurity

Autoritatea de supraveghere britanică va lua în considerare cu atenție declarațiile făcute de companie și celelalte autorități de protecție a datelor înainte de a lua o decizie finală.

Marriott a oferit să cumpere Starwood în 2015, cu un an înainte de lansarea hack-ului, și a încheiat tranzacția de 13,6 miliarde de dolari în septembrie 2016.

Senatorul Tom Carper, liderul Partidului Democrat, a declarat că „incidentul ridică și întrebări cu privire la gradul în care se referă preocupările privind securitatea informatică și ar trebui să joace un rol în deciziile de fuziune și de achiziție”.

Acest articol a fost publicat în Informații utile și etichetat cu , , , , , , , , , . Salvează legătura permanentă.



Pentru a evita sancțiuni uriașe financiare și de imagine vă recomandăm să verificați GRATUIT online dacă compania / instituția dvs. trebuie să fie conformă cu prevederile impuse de GDPR (Regulamentul European 679/2016 & Legea 190/2018) și dacă trebuie să externalizați un DPO sau să aveți desemnat intern o persoană pe poziția de DPO Responsabil cu protecția datelor cu caracter personal, specializat ulterior prin urmarea unui Curs DPO Autorizat Certificat.


Dacă întâmpinați greutăți în implementarea GDPR, puteți apela la echipa de specialiști GDPR sau puteți cotracta serviciile profesionale de consultanță GDPR de specialitate.


Pentru a vă sprijini, , echipa de specialiști GDPR vă pune la dipoziție setul de instrumente necesare pentru realizare evaluării de impact DPIA (politica, procedura, formular, raportul privind analiza impactului, soft de realizare evaluare de impact, etc) împreună cu instrucțiuni și sfaturi practice, șabloanele si alte evaluari DPIA completate ca exemplu, pentru a vă ajuta să înțelegeti ce trebuie realizat pentru a desfășura o evaluare de imact conform prevederilor GDPR și prevederilor Deciziei 174/2018 emise de ANSPDCP.