​A Marriott is brutális adatvédelmi büntetést kapott

​A Marriott International nagyon komoly adatvédelmi bírságot kapott a nyakába.
 

A Marriott tavaly november végén ismerte el, hogy egy súlyos incidens következtében több százmillió vendég adatához fértek hozzá illetéktelenek. A vállalat akkor azt közölte, hogy a vendégek foglalásait is tároló adatbázis kapcsán 2018. szeptember 8-án jelezte egy belső biztonsági eszköz, hogy jogosulatlan hozzáférés történt. A helyzetet nehezítette, hogy az adattolvajok az adatszivárogtatás előtt titkosították a vendégek érzékeny adatait tartalmazó fájlokat, és kódoltan juttatták ki azokat a hálózatból. Végül 2018. november 9-én sikerült a Marriottnak dekódolnia az egyik ilyen fájlt, és akkor derült ki, hogy abban a 2016-ban felvásárolt - Starwood szállodalánc vendég és foglalási adatbázisa található. 
 
A vállalat idén tavasszal azt a tájékoztatást adta, hogy a biztonsági incidens összességében 28 millió dolláros kárt okozott. Állítólag ebből 25 milliót a vállalat biztosítója kifizetett. Csakhogy ebben az összegben nem volt benne a GDPR-ral összefüggésben kiszabandó bírság. Mostanra azonban már azt is tudhatjuk, hogy ez mekkora összeget jelent. 

A brit adatvédelmi hivatal (ICO) a British Airways több mint 180 millió fontos büntetésének kiszabása után egy nappal közölte, hogy a Marriott kapcsán is megszületett a döntés, miszerint a szállodaláncnak 123,5 millió dolláros büntetést kell fizetnie. Az ICO szerint a biztonsági incidens 339 millió vendéggel kapcsolatos adatrekordot érintett. Ezek közül 30 millió EU-s állampolgárokhoz volt köthető. 

A hatóság úgy látta, hogy a rendszer sebezhetősége ugyan 2014-re volt visszavezethető, de a felvásárlást követő két éven belül sem sikerült kimutatnia azt a Marriottnak, és többet kellett volna tenni a rendszereinek védelme érdekében. 

Elizabeth Denham információs biztos úgy nyilatkozott, hogy a GDPR világossá teszi azt, hogy a szervezetek felelősséggel tartoznak a személyes adatok tárolásáért, kezeléséért. Egyben hangsúlyozta, hogy ha a vállalatok nem védik megfelelően a személyes adatokat, akkor nem fognak hezitálni, és kemény lépéseket tesznek, hogy megvédjék az emberek jogait. A British Airways és a Marriott esete pedig mindezt alátámasztja. 

Elmondható, hogy ez volt az első ilyen jelentős büntetés nem EU-s céggel szemben. Igaz ugyan, hogy már a Google is kapott egy 50 millió dolláros bírságot, de azt nem biztonsági incidenssel "érdemelte ki", hanem egyes folyamatainak GDPR-ral kapcsolatos megfelelőségi hiányosságai miatt kapta.

A Marriott elnök-vezérigazgatója, Arne Sorenson már jelezte, hogy elfogadhatatlannak tartják a nagy összegű büntetést, és fellebbezni fognak. A cég vezetője egyelőre inkább csak csalódottságának adott hangot az ICO döntését illetően, és nem részletezte, hogy milyen jogi lépéseket kívánnak foganatosítani.