GDPR Flash News: ICO fines Marriott International for failing to protect its customers’ data

Date: November 13, 2020

By Themistoklis Giannakopoulos & Lydia Kakourou

This Flash News comments on the decision of the Information Commissioner’s Office (ICO) imposing a fine of £18.4million on Marriott International Inc. for failure to implement appropriate technical and organizational measures which resulted in unauthorized access to 339 million guest records worldwide by hackers.

Below you may find the full article in Greek

 

Πρόστιμο στη Marriott International για παραβίαση δεδομένων προσωπικού χαρακτήρα

Των Θεμιστοκλή Γιαννακόπουλου & Λυδία Κακούρου 

Η Βρετανική Αρχή Προστασίας Προσωπικών Δεδομένων (Information Commissioner’s Office-ICO) επέβαλε πρόστιμο ύψους 18,4 εκατ. στερλινών στην πολυεθνική εταιρεία Marriott International για παραβίαση δεδομένων προσωπικού χαρακτήρα και ειδικότερα για μη εξουσιοδοτημένη πρόσβαση από άγνωστο/αγνώστους στα αρχεία 339 εκατομμυρίων επισκεπτών των ξενοδοχείων της εταιρείας.

Ιστορικό

Το 2014, η εταιρεία Starwood Hotels and Resorts Worldwide έπεσε θύμα κυβερνοεπίθεσης στα πληροφοριακά της συστήματα, η οποία δεν διαπιστώθηκε παρά μόνο τέσσερα χρόνια αργότερα, το 2018, οπότε η εν λόγω εταιρεία είχε εν τω μεταξύ εξαγοραστεί από την αλυσίδα ξενοδοχείων Marriott. Το αποτέλεσμα της κυβερνοεπίθεσης ήταν η πρόσβαση σε  προσωπικά δεδομένα πελατών, όπως, μεταξύ άλλων, ονόματα, διευθύνσεις, τηλεφωνικοί αριθμοί, στοιχεία άφιξης/αναχώρησης, αριθμοί διαβατηρίων, στοιχεία χρεωστικής/πιστωτικής κάρτας κ.α.

Επειδή η παραβίαση αφορούσε προσωπικά δεδομένα πελατών σε όλο τον κόσμο και ως εκ τούτου είχε διασυνοριακό χαρακτήρα και δεδομένου ότι, όταν έλαβε χώρα, το Ηνωμένο Βασίλειο δεν είχε ακόμα αποχωρήσει από την Ε.Ε., η Βρετανική Αρχή ενήργησε ως επικεφαλής εποπτική αρχή σύμφωνα με τα προβλεπόμενα στον Κανονισμό και εξέδωσε την απόφασή της λαμβάνοντας υπόψη τόσο επιβαρυντικούς όσο και ελαφρυντικούς παράγοντες.

Αιτιολόγηση της απόφασης αναφορικά με το ύψος του προστίμου

Το πρόστιμο επεβλήθη επειδή, σύμφωνα με την αρμόδια εποπτική αρχή, η εταιρεία απέτυχε να εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα για την ασφάλεια των προσωπικών δεδομένων των πελατών της και ως εκ τούτου απέτυχε να τηρήσει την αρχή της εμπιστευτικότητας και της ακεραιότητας.

Το ύψος του προστίμου αποφασίστηκε, σύμφωνα με όσα προβλέπονται στον ΓΚΠΔ, με γνώμονα τη φύση, τη διάρκεια και τη βαρύτητα της παραβίασης και ειδικότερα λαμβανομένων υπόψη του μεγάλου αριθμού προσώπων που επηρεάστηκαν από την παραβίαση, του άγχους και της δυσφορίας που προκλήθηκε στα υποκείμενα των δεδομένων από πρόσβαση αγνώστων στα προσωπικά τους δεδομένα, του μεγέθους και του προφίλ της εταιρείας και της επεξεργασίας από την εταιρεία μεγάλου όγκου, μεταξύ άλλων, «ευαίσθητων» δεδομένων.

Από την άλλη πλευρά, ως ελαφρυντικοί παράγοντες θεωρήθηκαν, μεταξύ άλλων, η ανυπαρξία σχετικών προηγούμενων παραβιάσεων από την εταιρεία, η ομαλή συνεργασία της εταιρείας με την αρμόδια εποπτική αρχή, η σύννομη γνωστοποίηση της παραβίασης στην αρμόδια εποπτική αρχή, η σύννομη ανακοίνωση της παραβίασης στα υποκείμενα των δεδομένων και η άμεση λήψη επανορθωτικών μέτρων, η προσπάθεια της εταιρείας να βελτιώσει έκτοτε τα τεχνικά και οργανωτικά της μέτρα, καθώς και η οικονομική ζημία της εταιρείας ως αποτέλεσμα της πανδημίας του κορωνοϊού.

Διαπιστώσεις-συμπεράσματα αναφορικά με τη διαχείριση περιστατικών παραβίασης

  • H παραβίαση προσωπικών δεδομένων είναι η μεγαλύτερη πρόκληση που αντιμετωπίζουν οι επιχειρήσεις.
  • Η μη ενδεδειγμένη αντιμετώπιση ενός περιστατικού παραβίασης προσωπικών δεδομένων θα επιφέρει πιθανότατα την επιβολή σημαντικού προστίμου, αλλά και άλλων, ίσως βαρύτερων συνεπειών, όπως ζημία στο όνομα και στη φήμη μιας εταιρίας, απώλεια πελατείας, μείωση εμπορικής αξίας, κλπ..
  • Η ορθή και ενδεδειγμένη αντιμετώπιση περιστατικών παραβίασης με έγκαιρη και σύννομη γνωστοποίηση της παραβίασης στην αρμόδια εποπτική αρχή, ανακοίνωση στα επηρεαζόμενα φυσικά πρόσωπα, όπου απαιτείται, συνεργασία και παροχή εξηγήσεων στην αρμόδια αρχή ή/και στα επηρεαζόμενα φυσικά πρόσωπα, πλήρη και επαρκή διερεύνηση και αξιολόγηση των συνθηκών του περιστατικού παραβίασης, ορθή και αποτελεσματική διαχείριση του περιορισμένου χρόνου που προβλέπεται από τον Κανονισμό για συμμόρφωση με τις σχετικές υποχρεώσεις, κλπ. θα ληφθούν υπόψη ως ελαφρυντικοί παράγοντες που μετριάζουν τις αρνητικές συνέπειες. Αντίστοιχα, η λανθασμένη, αναποτελεσματική ή/και μη σύννομη διαχείριση ενός περιστατικού παραβίασης προσωπικών δεδομένων θα ληφθεί υπόψη ως επιβαρυντικός παράγοντας που θα οξύνει τις συνέπειες.
  • Μη οικονομικές συνέπειες, όπως η πρόκληση άγχους στα επηρεαζόμενα φυσικά πρόσωπα ως αποτέλεσμα περιστατικού παραβίασης, λαμβάνονται υπόψη ως επιβαρυντικοί παράγοντες.
  • Οι συνέπειες της μη συμμόρφωσης με τις υποχρεώσεις του σχετικού νομοθετικού/κανονιστικού πλαισίου μπορεί να είναι διαρκείς, ή/και να εμφανιστούν μετά από μεγάλο χρονικό διάστημα και σε εντελώς διαφορετικό οικονομικό και κοινωνικό περιβάλλον με ό,τι αυτό μπορεί να συνεπάγεται.
  • Τέλος, η διαρκής εκπαίδευση του προσωπικού μιας εταιρείας και ο σαφής καταμερισμός καθηκόντων κατά τη διαχείριση περιστατικών παραβίασης είναι καθοριστικής σημασίας τόσο για την πρόληψη όσο και για την αντιμετώπιση τέτοιων περιστατικών.