We wtorek 9 lipca 2019 r. brytyjski odpowiednik Urzędu Ochrony Danych Osobowych -  Information Commissioner's Office, w skrócie ICO - wydał oświadczenie w odpowiedzi na zgłoszenie Marriott International do amerykańskiej Komisji Papierów Wartościowych i Giełd o tym, że  ma być ukarany za naruszenie RODO. Sprawa jest o tyle ciekawa, że tak naprawdę dotyczy spółki przejętej przez Marriott.

Otóż w listopadzie 2018 r. Marriott ujawnił  dane osobowe ok. 339 milionów gości na całym świecie, z czego ok. 30 milionów dotyczyło mieszkańców 31 krajów w Europejskiego Obszaru  Gospodarczego (EOG), w tym siedem milionów mieszkańców Wielkiej Brytanii. Był to jednak efekt luki w systemach grupy hoteli Starwood, którą Marriott przejął w 2016 r. Luka ta była już od 2014 r. Ujawnienie informacji o klientach zostało odkryte jednak dopiero w 2018 r. Dochodzenie ICO wykazało, że Marriott nie dochował wystarczającej staranności, kiedy kupił Starwood. Zdaniem ICO powinien był zrobić więcej, aby zabezpieczyć swoje systemy. I za brak zabezpieczeń systemów przjmowanej grupy ma dostać karę w wysokości 99,2 mln funtów.

 


Szefowa ICO nie ma wątpliwości, że dane osobowe to aktywa firmy

Elizabeth Denham, szefowa ICO, podkreśla, że ​​organizacje muszą być odpowiedzialne za przechowywane przez siebie dane osobowe. - Może to obejmować przerowadzenie analizy przejmowanej firmy, a nastęnie wprowadzenie odpowiednich środków ochrony tak, aby pozyskane dane osobowe były właściwie zabezpieczone. Dane osobowe mają prawdziwą wartość, dlatego organizacje mają prawny obowiązek zapewnienia bezpieczeństwa, tak jak w przypadku innych aktywów. Jeśli tak się nie stanie, nie zawahamy się podjąć zdecydowanych działań, gdy będzie to konieczne, aby chronić prawa społeczeństwa - podkreśla Elizabeth Denham.

Druga zapowiedź kary przez ICO w ciągu dwóch dni

W poniedziałek zaś ICO ujawniło, że chce nałożyć na brytyjskie linie lotnicze 183 miliony funtów kary za incydent zgłoszony we wrześniu 2018 r. W efekcie ataku hakerskiego wyciekły dane osobowe, np. adresowe, rezerwacyjne około 500 tys. klientów, w tym dotyczące ok. 380 tys. kart płatniczych. IAG (International Airlines Group), która jest właścicielem BA, zapewniła w poniedziałek, że skala wycieku była niższa. Zaznaczyła też, że będzie składać oświadczenia do ICO w sprawie wysokości grzywny.