Hatalmas GDPR bírság vár a Mariottra

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A brit adatvédelmi biztos részletes vizsgálatot követően szándéknyilatkozatában bejelentette, hogy 99.200.396 angol font, azaz körülbelül 36 milliárd forint adatvédelmi bírságot tervez kiszabni a Marriott szállodaláncra az érintettek GDPR-ban foglalt jogainak megsértése miatt.

A magas összegű bírságot egy a Mariott által 2018-ban kiszabott adatvédelmi incidens indokolta. Az incidens körülbelül 399 millió vendég adatát érintette az egész világon, amelyből 30 millió volt valamely EU vagy EGT tagállam állampolgára, illetve ezek közül 7 millióan voltak brit állampolgárok.

Feltételezések szerint az incidenst okozó sérülékenység még a Starwood hotellánc rendszerében keletkezett, amelyet a Mariott 2016-ban felvásárolt, de az adatok kiszivárgására csak 2018-ban derült fény.
A brit adatvédelmi biztos szerint a Starwood hotellánc megszerzésekor nem járt el megfelelő gondossággal, amikor nem vizsgálta felül az átvett biztonsági rendszereket.

Elizabeth Denham adatvédelmi biztos úgy foglalt állást, hogy „a GDPR egyértelművé teszi, hogy az adatkezelőknek elszámoltathatónak kell lenniük a saját adatkezelési folyamataikért és az általuk kezelt adatok biztonságáért. Ez a kötelezettség magában foglalja a vállalatfelvásárlások során a megfelelőségi vizsgálatok alapos elvégzését, illetve megfelelő intézkedéseket kell életbe léptetni az átvett adatok kezeléséhez kapcsolódó elszámoltathatóság és a személyes adatok védelme érdekében.

“A személyes adatnak is van értéke, ezért a szervezeteknek jogi kötelezettségük az adatok biztonságának garantálása, ahogyan teszik ezt a többi eszközükkel is. Ha ennek nem tesznek eleget, akkor szigorú eszközökkel fogunk fellépni a közérdek védelméért.”

A Marriott az eljárás során együttműködött a brit adatvédelmi biztos irodájával és több olyan biztonsági fejlesztést is végrehajtott, amely nagyobb adatbiztonságot garantálnak. A vállalatnak még van lehetősége, hogy egyeztessen a brit adatvédelmi hatósággal a megállapításokról és tervezett szankciókról.

A brit adatvédelmi biztos fő felügyeleti hatóságként, a többi EU tagállam érdekeit is képviselve folytatta le a Mariott ügyében a vizsgálatot és ennek során más hatóságokkal is folyamatos kapcsolatban volt, amelyre a GDPR által bevezetett egyablakos ügyintézés keretében került sor. Ennek lényege, hogy a vizsgálatot egy főfelügyeleti hatóság vezeti, de bármely hatóság bekapcsolódhat az eljárásban, amelynek állampolgára érintett.

A brit adatvédelmi biztos egyértelművé tette, hogy alaposan meg fogja vizsgálni a Mariott képviselőinek, illetve a többi tagállam hatóságának álláspontját a végleges döntés meghozatala előtt.

(ico.org.uk)

---