Это уже второй случай за два дня, когда Великобритания расправляется с нарушениями конфиденциальности, ранее выставив штраф в размере 228 миллионов долларов British Airways.
Массированный взлом баз данных для бронирования Marriott International может привести к штрафу в размере 99 миллионов фунтов стерлингов (124 миллиона долларов), и это может стать вторым случаем, когда Великобритания расправилась с нарушениями конфиденциальности и вторым значительным уведомлением о штрафе за два дня.
Кибератака, о которой Marriott сообщила в прошлом году, раскрыла информацию о 339 миллионах записей о гостях, включая 7 миллионов, связанных с британскими резидентами, говорится в заявлении, опубликованном во вторник Управлением по вопросам информации в Великобритании. Это уже второй случай за два дня, когда регулятор решил воспользоваться далеко идущими полномочиями Европейского Союза, определив штраф в размере 183,4 миллиона фунтов (228 миллионов долларов) для British Airways.
Обозначенный штраф также подчеркивает возникающий риск слияний и поглощений, когда ICO обвиняет Marriott в том, что она не провела достаточную юридическую проверку при приобретении Starwood Hotels & Resorts. Взлом, скорее всего, имел место в 2014 году и целью была база данных Starwood, за два года до того , как компания была приобретена Marriott.
«Организации должны нести ответственность за личные данные, которые они хранят», - сказала в заявлении комиссар по информации Элизабет Денхем. «Это может включать проведение надлежащей юридической проверки при совершении корпоративного приобретения и принятие надлежащих мер по обеспечению подотчетности для оценки не только того, какие личные данные были получены, но и как они защищены».
ICO заявила, что Marriott сотрудничал с расследованием регулятора и улучшил свою безопасность с момента обнаружения нарушения в прошлом году. Процесс регулирования позволяет Marriott оспаривать штраф ICO, что компания и планирует сделать.
«Мы разочарованы этим уведомлением о намерениях от ICO, которое мы будем оспаривать», - заявил генеральный директор Marriott Арне Соренсон в отдельном заявлении. «Мы глубоко сожалеем о случившемся. Мы очень серьезно относимся к конфиденциальности и безопасности информации о гостях и продолжаем усердно работать, чтобы соответствовать стандартам качества, которого ожидают наши гости».
По словам Майкла Беллисарио, аналитика из Robert W. Baird & Co., размер штрафа составляет около 2,4% от общего дохода Marriott, что ниже возможного максимума в 4%, который ICO мог бы наложить в соответствии с правилами защиты данных. «Окончательная сумма штрафа будет уменьшена или частично покрыта за счет киберстрахования, мы считаем, что настроение инвесторов в отношении Marriott может стать менее позитивным в ближайшей перспективе», - сказал он во вторник.
ICO оштрафовала British Airways после того, как хакеры перенаправили трафик с веб-сайта BA на мошеннический сайт, через который собирали данные клиентов. IAG SA, материнская компания BA заявила, что штраф составляет 1,5% от выручки авиакомпании в 2017 году.
Общее постановление ЕС о защите данны , вступившее в силу 25 мая 2018 года, требует от компаний принятия технических мер предосторожности, таких как шифрование, для обеспечения защиты данных клиентов. В нем также говорится, что фирмы должны уведомлять власти о нарушениях в течение 72 часов после того, как узнали о них. Нарушения могут привести к штрафам в размере до 4% годового объема продаж компании.
«Все вместе взятые штрафы, особенно с учетом этого штрафа Marriott, должны стать тревожным событием для любой компании, на которую распространяется юрисдикция ICO по GDPR», - сказал Тамлин Бэйсон, аналитик Bloomberg Intelligence. «ICO занимает агрессивную позицию в отношении нарушений».
Подготовлено порталом Allinsurance.kz