Ledwie wczoraj pisałem o karze z RODO dla British Airways, a tym czasem ICO działa dalej. Kolejna ukarana korporacja to Marriott. Wysokość kary – przeszło 99 mln funtów. Sytuacja wygląda dość podobnie jak w przypadku British Airways.
Za co ICO chce nałożyć karę na Marriott?
W listopadzie 2018 Marriott zgłosił ICO naruszenie ochrony danych osobowych. Wyciekły około 339 rekordów z danymi osobowymi gości należącej do Marriott sieci hoteli Starwood. Okazało się, że nieautoryzowany dostęp do systemu rezerwacji tej sieci hoteli miał miejsce w (lub jak podają niektóre źródła – trwał od) 2014 roku. W roku 2016 sieć Starwood została przejęta przez Marriott. Tymczasem incydent został wykryty dopiero w 2018 roku.
30 listopada 2018 Marriott opublikował oświadczenie, w którym opisuje co się stało. Uruchomił ponadto specjalną stronę z FAQ, informacjami jakie kroki można podjąć i numerami telefonów, pod którymi klienci mogą otrzymać wsparcie w związku z incydentem. Jest również polska infolinia.
Kara dla Marriott – za wysoka, czy adekwatna?
Marriott, co nie dziwi, nie zgadza się z proponowaną wysokością kary. Podobnie jak w przypadku British Airways argumentuje, że cały czas współpracuje z ICO by sprawę wyjaśnić. Ponadto już ulepszył swoje systemy informatyczne. Jest to szansa dla hotelarzy, by nieco złagodzić „wycenę” tego naruszenia.
Po stronie ICO oczywiście też są mocne argumenty. Urząd podkreśla, że Marriott przejmując Starwood, nie wykazał się należytą staranności, by zapewnić bezpieczeństwo danych.
Na niekorzyść ukaranych przemawia też czas (4 lata) od zaistnienia incydentu do chwili jego wykrycia.
Nie bez znaczenia jest zapewne to jakie dane wyciekły. Dowiadujemy się tego z oświadczenia wydanego przez Marriott 30 listopada 2018.
W przypadku około 327 milionów danych gości, informacje obejmują pewną kombinację nazwiska, adresu pocztowego, numeru telefonu, adresu e-mail, numeru paszportu, informacji o koncie Starwood Preferred Guest („SPG”), daty urodzenia, płci, informacji o przybyciu i wyjściu, daty rezerwacji i preferencji w zakresie komunikacji. Dla niektórych gości informacje obejmują również numery kart płatniczych i daty wygaśnięcia kart płatniczych, ale numery kart płatniczych były szyfrowane przy użyciu szyfrowania Advanced Encryption Standard (AES-128). Do odszyfrowania numerów kart płatniczych potrzebne są dwa komponenty, a w tym momencie Marriott nie był w stanie wykluczyć, że oba zostały pobrane. Dla pozostałych gości informacje ograniczały się do nazwiska, a czasem do innych danych, takich jak adres pocztowy, adres e-mail lub inne informacje.
Co przyniesie nam kolejny dzień?
Ten tydzień póki co sprawia, że ICO jest w centrum uwagi (nie tylko) osób, które zajmują się ochroną danych osobowych. Dzień po dniu słynne marki i zapowiedzi gigantycznych kar.
Zobaczymy, czy w kolejne dni brytyjski organ znowu nas czymś zaskoczy. Ja profilaktycznie zaglądam na stronę ICO kilka razy dziennie, spodziewając się kolejnych niusów.
Aby być na bieżąco, nie tylko z grzywnami nakładanymi przez ICO, sprawdź aktualną listę zawierającą kary z RODO w Polsce i Europie.

Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.