Το πρόστιμο που είχε επιβληθεί από τον βρετανικό παρατηρητή ασφαλείας, στην ξενοδοχειακή μονάδα Marriott λόγω παραβίασης δεδομένων, μειώθηκε κατά 14,4 εκατομμύρια £ (~ 23,8 εκατομμύρια $) από το ποσό των 99 εκατομμυρίων £ (123 εκατομμύρια δολάρια).
Η παραβίαση δεδομένων πραγματοποιήθηκε το 2014 και αφορούσε το δίκτυο ξενοδοχείων Starwood και δεν είχε ανακαλυφθεί πριν από το Νοέμβριο του 2018.
Τα προσωπικά δεδομένα που εμπλέκονται στην παραβίαση διέφεραν μεταξύ των ατόμων, αλλά ο ICO είπε ότι μπορεί να περιλαμβάνει ονόματα, διευθύνσεις email, αριθμούς τηλεφώνου, αριθμούς διαβατηρίων χωρίς κρυπτογράφηση, πληροφορίες άφιξης / αναχώρησης, κατάσταση VIP επισκεπτών και αριθμό μέλους προγράμματος πίστης.
Σε παγκόσμιο επίπεδο, επηρεάστηκαν περίπου 339 εκατομμύρια αρχεία επισκεπτών, αλλά πιστεύεται ότι λιγότερα άτομα έχουν παραβιαστεί λόγω του ότι ορισμένα από τα αρχεία ήταν διπλότυπα. Η παραβίαση θεωρείται ότι έχει επηρεάσει περίπου 30 εκατομμύρια χρήστες σε ολόκληρη την ΕΕ, σύμφωνα με μια προηγούμενη εκτίμηση του ICO.
Σε μία δήλωσή της, η επίτροπος πληροφοριών του Ηνωμένου Βασιλείου Elizabeth Denham είπε: «Εκατομμύρια δεδομένα ανθρώπων επηρεάστηκαν από την παραβίαση της Marriott. Χιλιάδες επικοινώνησαν με τη γραμμή βοήθειας και άλλοι ίσως χρειαστεί να αναλάβουν νομική δράση για να προστατεύσουν τα προσωπικά τους δεδομένα, αφού η εταιρεία την οποία εμπιστεύτηκαν δεν το έκανε. Όταν μια επιχείρηση αποτυγχάνει να φροντίσει τα δεδομένα των πελατών της, ο αντίκτυπος δεν είναι απλώς ένα πιθανό πρόστιμο. Αυτό που έχει μεγαλύτερη σημασία είναι το κοινό του οποίου τα δεδομένα είχαν καθήκον να προστατεύσουν.»
Η αρχική ποινή που ορίστηκε από το ICO για την παραβίαση του Marriott θα ήταν ένα από τα μεγαλύτερα πρόστιμα που επιβλήθηκαν βάσει του GDPR. Το πρώτο προτεινόμενο ποσό αντιπροσώπευε περίπου το 3% των εσόδων της εταιρείας για το 2018, αλλά με τη μείωση συρρικνώθηκε σε περίπου 0,6%. Η μείωση αυτή, οφείλεται σε ένα βαθμό στην πανδημία.
Σχετικά με τη μείωση του μεγέθους της ποινής, η Marriott δήλωσε ότι αντικατοπτρίζει τα «εκτεταμένα μέτρα μετριασμού» που τέθηκαν σε εφαρμογή μετά το συμβάν ασφαλείας. Δήλωσε επίσης ότι δημιούργησε έναν ειδικό ιστότοπο για την παροχή πληροφοριών στους ενδιαφερόμενους επισκέπτες και άνοιξε μια ειδική γραμμή βοήθειας. Επιπλέον έστειλε «εκατομμύρια» ειδοποιήσεις μέσω email σε άτομα των οποίων οι πληροφορίες εμπλέκονται στην παραβίαση. Ανέφερε επίσης ότι προσέφερε στους επισκέπτες την ευκαιρία να εγγραφούν σε μια υπηρεσία παρακολούθησης προσωπικών πληροφοριών όπου ήταν διαθέσιμη.
