skip to Main Content

40 milliárd helyett végül csak 7,5 lett a Marriott elleni bírság

Az Egyesült Királyság Adatvédelmi Hivatala (ICO) 2020. október 30-án jelentette be, hogy hosszas vizsgálódás után végül 18,4 millió font bírságot szab ki a Marriott hotellánccal szemben. A bírság korábban várt összege közel 100 millió font volt, azonban, mint a British Airways esetében, az ICO ebben az ügyben is jelentősen csökkentette ennek mértékét. Mielőtt ennek lehetséges okait megvizsgáljuk, tekintsük át az ügy alakulását.

Az előzmények

Az adatvédelmi incidens még 2014-ben kezdődött a Starwood hotellánc ellen elkövetett támadással, mely akkor felderítetlen maradt. A Starwoodot 2016-ban vásárolta fel a Marriott, az incidensre azonban csak 2018 novemberében derült fény. Ez idő alatt becslések szerint kb. 339 millió ügyfél személyes adatai kerültek veszélybe, köztük a vendégek:

• neve,
• e-mail címe,
• telefonszáma,
• útlevélszáma,
• a hotelben történő megszállási idejének kezdete és vége,
• VIP státusza és hűségprogrammal kapcsolatos adatai.

Az incidens észlelését követően pedig még csaknem egy hónapot kellett várni arra, hogy a hotellánc kapcsolatba lépjen az érintett ügyfeleivel.

A vizsgálat

Az ICO akkori álláspontja szerint a Marriott nem rendelkezett megfelelő technikai és szervezeti intézkedésekkel a támadás megakadályozására és felismerésére, holott ez a GDPR 5. cikk (1) bekezdés f) pontja és 32. cikke szerint is kötelessége lett volna. A Hatóság 4 fő hibát emelt ki a Marriott részéről:

• A felhasználói fiókok elégtelen ellenőrzése, mely megakadályozhatta volna az incidenst.
• A belső adatbázisok megfelelő ellenőrzésének hiánya.
• A cég szerverei biztonságának alacsony színvonala.
• Személyes adatok (köztük útlevelek adatainak) titkosítatlan tárolása.

A Marriott megkísérelte meggyőzni a Hatóságot, hogy döntése meghozatalakor enyhítő körülményként vegye figyelembe a támadás kifinomultságát, ezt azonban az ICO visszautasította a korábban említett szervezeti intézkedések hiánya miatt. A Hatóság eleinte szintén nem értett egyet a Marriott álláspontjával, mely szerint nem róható fel neki a GDPR 33. cikkének megszegése, mivel az incidens időpontjában arról tudomása nem volt, így erről a Hatóságot sem tájékoztathatta. Az ICO végleges döntésében valószínűsíthetően elfogadta ezt, ugyanis nem is teszi felelőssé a hotelláncot a 33. cikk megsértése miatt.

Hasonlóan nem találta felelősnek a Marriottot a Hatóság a GDPR 34-es, érintettek tájékoztatásával kapcsolatos cikkének megsértése miatt, azonban kiemelt néhány hibát a cég ügymenetében, például, hogy a sértettek számára létrehozott call centerének telefonszámát nem mellékelte az érintetteknek küldött e-mailjében.

A végleges döntés

Döntésének meghozatalakor az ICO a saját maga által kiadott irányelveket követte, elsősorban megállapítva, hogy a Marriott nem jutott anyagi előnyhöz az incidens következtében. A Hatóság a Marriott által elkövetett vétségeket jelentősnek ítélte, mivel a hotelláncnak számos eszköz állt volna rendelkezésére az eset megakadályozására. Szintén súlyosbító körülményként ítélte meg az incidens által érintett ügyfelek hatalmas számát.

Az ICO szerint bizonyított, hogy számos ügyfelének kárt okozott a Marriott figyelembe véve a bankkártyák tömeges újrakérését, illetve a call centerbe befutott mintegy 57.000 hívást. Végül a Hatóság megállapította, hogy az incidens fő oka a Marriott hanyagsága volt, mivel nem megfelelően üzemeltette informatikai rendszereit, holott a cég mérete és profilja alapján jó célpontként szolgál hasonló támadók számára, illetve a szükséges forrásai is rendelkezésre álltak a megfelelő szintű informatikai védelem biztosítására.

A bírság összegének mérséklésekor a Hatóság figyelembe vette a Marriott által szolgáltatott információkat, a lépéseket, melyeket a cég tett az incidens további negatív hatásainak csökkentésére, illetve a Covid-19 járvány gazdasági hatásait. Megállapították, hogy a Marriott késlekedés nélkül értesítette az érintetteket és a Hatóságot az incidensről, illetve az azóta eltelt időben jelentős javításokat eszközölt informatikai rendszerein. Emellett létrehozott egy call centert, többnyelvű weboldalt és számos egyéb lépést tett az érintettek jogainak védelme és a negatív hatások csökkentése érdekében. Az ICO szintén kiemelte, hogy a Marriott az egész vizsgálat alatt teljes mértékben együttműködött vele.

A Hatóság végleges döntésében eredetileg 28 millió fontra kívánta büntetni a hotelláncot. A korábban felsorolt enyhítő körülmények miatt ezt a számot 20%-kal csökkentette 22,4 millióra, majd a Covid-19 járvány figyelembevételével a végső összeg 18,4 millió font lett (7,5 milliárd Ft).

Az ICO két legnagyobb profilú ügyében végül tehát azoknak lett igaza, akik azt jósolták, hogy a Covid-19 járvány meg fogja hiúsítani a rekordösszegű bírságok kiszabását. Ahogy a jelenlegi és a British Airways esete is mutatja, a járvány igencsak “kapóra jött” a cégeknek a bírság méretének szempontjából. Persze tudjuk, hogy ezek a cégek a vírus következményeként a bírság sok tíz-, vagy százszorosát vesztették el, mint bevétel, mégis érdekes kérdést vet fel, hogy egy jogsértés súlyosságán és az arra adott hatósági reakción rendben van-e, hogy változtatnak külső gazdasági tényezők.

Brit adatvédelmi szakértők szerint nem szabad(na) azt a benyomást keltenie a Hatóságnak, hogy minden, a járvány által sújtott céggel kesztyűs kézzel fog bánni. Sokkal inkább arról lehet szó, hogy az ICO jelentősen túlbecsülte az elsőként publikált várható bírság összegét, erre azonban most nem hívja fel külön a figyelmet.

Back To Top