ICO varsler overtredelsesgebyr på 99 millioner pund til Marriott International Inc.

Det britiske Datatilsynet (Information Commissioner’s Office, ICO) har varslet Marriott International Inc. om at det vil ilegge virksomheten et overtredelsesgebyr på 99 millioner pund. Bakgrunnen er en sikkerhetshendelse som Marriott meldte til ICO i november 2018.

Dette er det andre overtredelsesgebyret som ICO har varslet denne uken. ICO varslet den 8. juli British Airways om et overtredelsesgebyr på 183,4 millioner pund.

Berører også norske kunder

Marriott-saken handler om en sårbarhet i systemene til Starwood Hotels fra 2014, som Marriott kjøpte i 2016. Sårbarheten kan ha ført til at personopplysninger til 339 millioner kunder, hvorav 30 millioner i EØS-området, har kommet på avveier.

Ifølge ICO skyldes dette at Marriotts selskapsgjennomgang, såkalte "due diligence", ved oppkjøpet av Starwood ikke har vært grundig nok, og at Marriott burde ha iverksatt bedre sikkerhetstiltak.

Saken berører også norske kunder, og derfor blir den behandlet etter personvernforordningens samarbeidsmekanisme. Dette betyr at det norske Datatilsynet er involvert i saken som en "berørt tilsynsmyndighet" og vil ha anledning til uttale seg om det endelige vedtaket, herunder gebyrets størrelse. Dette vil først skje etter at Marriott har gitt sin fremstilling av saken.

Les mer om saken på ICOs nettsider (engelsk)

22