רשות הגנת הפרטיות בבריטניה (ה- ICO) הודיעה על הטלת קנס בגובה 18.4 מיליון ליש"ט על רשת המלונות מאריוט (Marriott) בגין הפרת ה- GDPR.
החקירה החלה בנובמבר 2018, לאחר שמאריוט דיווחה כי האקרים פרצו למערכות החברה ואספו כ- 339 מיליון רשומות המכילות מידע אישי של אורחי הרשת, מתוכם כ- 7 מיליון רשומות הנוגעות לאורחים מבריטניה. המספר המדויק של נושאי המידע אינו ברור מאחר ועשויות להיות מספר רשומות הנוגעות לאותו נושא מידע.
חקירת ה- ICO העלתה כי מקור הפריצה בשנת 2014, אז הוחדרה תוכנה זדונית למחשבי רשת המלונות starwoods שנרכשה על ידי מאריוט. מאריוט גילתה אודות התקיפה רק בנובמבר 2018. המידע האישי שנחשף בעקבות הפריצה כלל שמות, כתובות דואר אלקטרוני, מספרי טלפון, מספרי דרכון, תאריך הגעה ועזיבה למלון ופרטים אודות חברות במועדון הלקוחות של הרשת. מחקירת הרשות עלה כי מאריוט לא דאגה לרמה נאותה של אבטחת מידע במערכותיה.
בעקבות החקירה, פרסם ה- ICO ביולי 2019 הודעה על כוונתו להטיל קנס בגובה 99 מיליון ליש"ט על הרשת, אולם כעת הוחלט על הפחתת הקנס ל- 18.4 מיליון ליש"ט בלבד. בעוד שהפריצה החלה משנת 2014, הקנס שהוטל על מאריוט נוגע רק לתקופה שמה- 25 במאי 2018, אז נכנסו לתוקפן תקנות ה- GDPR. בחישוב הקנס ה- ICO לקח בחשבון את הצעדים המהירים שנקטה מאריוט להודיע על דבר הפריצה ל- ICO ולנושאי המידע ולמזער את הנזק שנגרם לנושאי המידע, וכן את השפעותיה של התפשטות מגיפת הקורונה על הרשת. ה-ICO גם מציין כי מאז היוודע דבר הפריצה, מאריוט נקטה במספר צעדים לשיפור הגנת המידע במערכות הרשת.