Den läcka av sammanlagt 339 miljoner personuppgifter som upptäcktes och offentliggjordes sent på året 2018 kan komma att stå hotellkedjan Marriott dyrt. Även om Marriott är ett amerikanskt företag drabbade dataläckan även cirka 30 miljoner människor inom den europeiska ekonomiska zonen, varav sju miljoner brittiska medborgare, enligt ett pressmeddelande från den brittiska GDPR-myndigheten Information Commissioner's Office, ICO.

En intressant detalj är att läckan påbörjades redan 2014 inom hotellkedjan Starwood som Marriott sedan köpte upp 2014. Marriott fick med andra ord bokstavligen med sig ett dataintrång på köpet. Sedan pågick alltså läckan i ytterligare två år innan den upptäcktes 2018. Den brittiska myndigheten ICO menar att Marriott borde ha gjort en bättre ”due diligence”, det vill säga en ordentlig revision av it-systemen, i samband med köpet av Starwood, samt att de borde upptäckt läckan under de följande två åren, rapporterar Bleeping Computer.

I ett preliminärt beslut utfärdar därför ICO motsvarande 1,17 miljarder kronor i böter till Marriott för brott mot EUs dataskyddsförordning, GDPR, men Marriott har fortfarande tid att komma in med synpunkter, vilket Marriott också meddelat att de kommer att göra, och bötesbeloppet kan därför komma att ändras.

Marriott anser i sin anmälan till den amerikanska myndigheten Securities and Exchange Commission, SEC, att de samarbetat fullt ut med ICO och att de anser bötesbeloppet orättvist. ICO menar och sin sida att en organisation måste ta fullt ansvar för de personuppgifter de förfogar över, och att detta inkluderar personuppgifter som följer med vid uppköp eller sammanslagningar av organisationer.

I dagarna kom även beskedet från ICO att det brittiska flygbolaget British Airways måste böta motsvarande två miljarder kronor för brott mot GDPR efter en läcka av kundernas personuppgifter 2018.

Läs också:
Hotellkedja plundrad på en halv miljard personuppgifter i historiskt stort hack
British Airways får böta två miljarder för brott mot GDPR