הרשות להגנת מידע הבריטית (ICO) הודיעה על כוונתה להטיל קנס גדול נוסף בסכום של 99 מיליון ליש”ט על רשת המלונאות הבינלאומית ‘מאריוט’ (Marriott International), זאת בעקבות חדירה למערכות החברה אשר הביאה לחשיפת פרטיהם של כ-340 מיליון אורחי רשת המלונות, ברחבי העולם.

כזכור, רק לאחרונה הודיעה ה-ICO כי בכוונתה להטיל קנס חסר תקדים בסכום של למעלה מ-183 מיליון ליש”ט על חברת התעופה הבריטית – British Airways בגין אירוע אבטחת מידע דומה במעט, בו נגנבו פרטי הזמנות ואשראי של לקוחותיה. כעת כאמור, על המוקד נמצאת רשת מלונות ‘מאריוט’.

חקירת ה-ICO בעניין החלה בנובמבר 2018, לאחר שמאריוט דיווחה על אירוע אבטחה בו האקרים פרצו למערכות החברה, ובתוך כך אספו פרטים של כ-339 מיליון אורחי הרשת. מתוכם כ-30 מיליון תושבי מדינות האיחוד האירופי ו-7 מיליון תושבי האי הבריטי.

הפריצה התרחשה למעשה ארבע שנים קודם לכן, ברשת המלונות ‘סטארווד’ (Starwood), אשר נרכשה על-ידי מאריוט בשנת 2016 (וכזכור – דווחה רק ב-2018). חקירת ה-ICO העלתה כי אם מאריוט הייתה מבצעת כראוי את בדיקת הנאותות הנדרשת בטרם הרכישה, באופן המתייחס גם לנושאי הגנת פרטיות ואבטחת המידע, תוך דאגה לרמה מספקת של אבטחת המידע המצוי במערכותיה, ייתכן והייתה מזהה זאת טרם הרכישה.

יש לציין כי מאריוט שיתפה פעולה לכל אורך חקירת ה-ICO, ושיפרה את נהלי אבטחת המידע בארגון מאז שהתגלו האירועים. לחברה תהיה כעת הזדמנות להציג טיעוניה בפני ה-ICO ביחס לממצאי החקירה והסנקציות העתידות לבוא.

במסגרת הפרסומים, מסרה אליזבת דנהאם, נציבת ה-ICO – “ה-GDPR מבהיר כי ארגונים חייבים להיות אחראים למידע האישי שהם אוספים ומחזיקים. זה יכול לכלול ביצוע בדיקת נאותות ראויה עת ביצוע רכישה של חברה, וכן לנקוט באמצעים נאותים להערכה לא רק של המידע, אלא גם איך הוא מוגן. למידע אישי יש ערך אמיתי ולכן לארגונים ישנה החובה משפטית להבטיח את בטחונו, בדיוק כמו שהם היו עושים עם כל נכס אחר. אם זה לא יקרה, לא נהסס לנקוט בפעולה חזקה בעת הצורך כדי להגן על זכויות הציבור”.

ה-ICO חוקרת מקרה זה גם בשם ומטעם רשויות אחרות באיחוד, כרשות מובילה, כאשר החקירה אף מתבצעת בשיתוף פעולה עם רגולטורים אחרים. ה-ICO תשקול בקפידה את המצגים שניתנו על-ידי מאריוט וכן שאר רשויות הגנת מידע האירופאיות הנוגעות בדבר, וזאת לפני קבלת החלטה סופית. כמו כן, לאור מגוון ההוראות ואפשרויות הפעולה הקיימות בתקנות ה-GDPR, יתר רשויות הגנת המידע באירופה אשר תושביהן נפגעו, יוכלו להגיב גם הן על ממצאי חקירת הרשות הבריטית.