Marriott zapomniał powiedzieć, że coś mu wyciekło. Proponowana kara (bo RODO) to 470 mln zł

Brytyjski urząd odpowiedzialny za ochronę danych osobowych się nie patyczkuje. ICO (Information Commissioner Office), po tym jak oficjalnie zaproponowało grzywnę w wysokości 183 mln funtów dla British Airways, bierze się za wycenianie wycieku Marriottu. Dobrze wiedzieć, że ICO nie jest surowe tylko dla swoich rodaków.

W wycieku należącego obecnie do Marriotta Starwood ucierpiało około 339 mln klientów. Jak to ładnie określa firma, do danych przechowywanych w ich bazie rezerwacji hotelowej miały dostęp osoby nieautoryzowane. U hakerów znalazły się imiona, adresy mailowe, numery telefonów, niezaszyfrowane numery paszportów, daty urodzenia i dane dotyczące konta i oczywiście samych rezerwacji.

Dane ze Starwood wyciekły w 2014 r. i choć Marriott przejął sieć hoteli w 2016 r., to z poinformowaniem opinii publicznej i ofiar, o wycieku niespecjalnie mu się śpieszyło. Dopiero w listopadzie zeszłego roku dowiedzieliśmy się o 5 mln niezaszyfrowanych numerów paszportów i 8 mln danych z kart kredytowych, do których dostęp mieli przestępcy.

ICO ogłosiło, że kara dla Marriottu za złamanie ustaleń RODO będzie wynosiła ponad 99 tys. funtów. ICO uzasadnia wysokość kary między innymi tym, że po przejęciu firma nie dopełniła wszystkich starań i nie zadbała odpowiednio o poprawę bezpieczeństwa Starwood. Z drugiej strony urząd podkreśla, że już po ujawnieniu wycieku, bezpieczeństwo sieci zostało zwiększone. I tu leży szansa Marriottu. Wysokość grzywny została dopiero zaproponowana i Marriott ma szansę ją zmniejszyć, negocjując z urzędnikami.

Marriott oczywiście zamierza się bronić, choć warto podkreślić, że kara dla firmy nie jest przesadnie surowa. Według przepisów RODO urząd ma prawo żądać grzywny w wysokości 4 proc. od rocznych obrotów w firmy.

W poniedziałek ICO nałożyło karę 138 mln funtów za wyciek danych British Airways. We wtorek urząd zaproponował 99 mln funtów dla Mariottu. Widzimy się ponownie w środę?