首次公开募股宣布的1840万英镑万豪国际GDPR罚款:我们学到了什么?

在这里,我们看一下公司应从万豪国际公司1,840万英镑的GDPR罚款中学到什么。

由合作伙伴撰写, 迈克尔·德鲁里 和法律助理 格瓦拉·莱科克(Guevara Leacock)BCL律师事务所

On 30 2020年10月,信息专员办公室(“ ICO”)宣布对万豪国际公司(“ Marriott”)处以违反通用数据保护条例(“ GDPR”)的罚款1,840万英镑。这与ICO在2019年7月宣布的9920万英镑的拟议罚款相比,与万豪安全漏洞的背景相比有了显着下降,据报道,该漏洞在2014年至2018年之间持续了大约四年,而与该漏洞有关的罚款仅从GDPR于2018年5月生效。这是迄今为止监管机构征收的第二大GDPR罚款,仅次于对英国航空公司施加的罚款。迄今为止,万豪尚未对违规行为承担任何责任,但主要的国际酒店运营商已表示不打算对该决定提出上诉。

2014年,喜达屋酒店及度假村国际集团(“喜达屋”)成为网络攻击的受害者,影响了全球大约3.39亿客人记录,其中700万条记录涉及英国的个人。直到2018年9月,万豪才收购喜达屋,直到此攻击才被发现。受影响的数据包括姓名,电子邮件地址,电话号码,护照号码,到达和离开的信息以及VIP状态和会员计划信息。有传言说,该恶意行为者与中国情报部门有联系,尽管从未掩盖过,但在喜达屋系统中的设备上安装了代码,并通过恶意软件以特权系统用户的身份获得了远程访问权限,从而使其能够渗透并控制其系统。在充分意识到违规行为的性质两个月后,万豪于2018年11月通知了ICO和受影响的个人。两年后,Marriot因数据泄露而受到巨额罚款,并且无疑会招致巨额法律费用。

 

公司应该从中学到什么?

  尽管如此,数据控制者仍应确保就受数据泄露影响的人和ICO本身遵守及时报告的义务,以避免后者的愤怒。

及时通知受影响的数据用户并向ICO报告仍然是关键

GDPR和《 2018年数据保护法》(“ DPA”)要求所有组织在72小时内向ICO报告个人数据泄露,除非有合理的解释不这样做。虽然ICO接受了万豪在迅速采取行动的情况下的行为,因此未发生违反GDPR第33条规定的通知义务的情况,但它并未接受有关GDPR第33条要求数据控制者合理确定发生个人数据泄露的论点通知ICO之前。监管机构提醒万豪,控制器必须“能够合理地得出结论是 可能发生了个人数据泄露”。

没有发现违反第34条要求通知数据主体违规的要求,但是ICO指出了万豪方法的一些缺陷,例如偶然未能在发送给数据的电子邮件中包含其“专用呼叫中心”的电话号码科目。但是,ICO承认,万豪采取了适当步骤,例如采取以下措施迅速采取措施发现数据泄露,以减轻网络攻击的影响并保护其客人的利益,例如(i)创建多种语言的定制事件网站,( ii)向数据主体发送通知电子邮件,(iii)建立专门的呼叫中心,以及(iv)为受影响的数据主体提供Web监视。这些因素有用地说明了ICO在评估缓解个人数据泄露可能如何影响总体罪责和罚款水平时将考虑的因素。

数据管理员会很好地注意到,尽管这些因素并不总是适用于所有情况并且绝不是详尽无遗的,但它们是有启发性的,在寻求补救重大数据漏洞时应牢记这些因素。尽管如此,数据控制者仍应确保就受数据泄露影响的人和ICO本身遵守及时报告的义务,以避免后者的愤怒。

加密是关键,但是需要对要加密的内容做出明智的决定。

实施与网络威胁的严重性相匹配的适当技术和组织措施– security 监控

ICO发现,万豪未能按照第5条第1款(f)项和GDPR第32条的要求,采取适当的技术和组织措施来保护个人数据。监管者确定了四个主要故障:对可能检测到违规的特权帐户的监控不足;对数据库的监控不足;无法实施减少服务器漏洞的措施(这将限制对其数据库关键方面的访问);以及未能加密某些个人数据(包括一些护照号码)(仅对信用卡数据进行了加密)。这些措施不太可能阻止攻击,但是ICO的理由是,它们可以使早期检测成为可能(并且似乎对不同类型的数据的访问受到限制)。加密是关键,但是需要对要加密的内容做出明智的决定。

这家国际酒店运营商试图说服ICO,在确定针对它的适当执法措施时应考虑到攻击的复杂性。 ICO拒绝了这一点,称:“(原文如此)披露的攻击是万豪未能采取适当的安全措施来应对此类攻击和/或系统的其他可识别风险。”

本质上,要求数据控制器预见对其利益以及持有和处理其数据的数据主体的利益的复杂攻击。采取防御措施相匹配的任何东西,简直就是不够好。这似乎是对那些数量不断减少的企业的“警钟”,对于这些企业而言,数据泄露已经不是关键的战略风险,必须通过拥有适当资源的真正网络专业知识以及适当的董事会监督和管理来适当地缓解这些风险。责任。

ICO采用了其规定的五步流程 监管行动政策 在计算对万豪施加的罚款时。

尽职调查对收购的根本重要性

万豪数据泄露及随之而来的罚款提高了公司和组织有意收购或合并其他公司时进行彻底尽职调查的重要性。重要的是,目标公司的IT和网络安全措施必须符合GDPR的规定,并且已对所有折衷的措施进行了调查,以至于可以断言并购方没有采取可接受的技术和组织措施的任何主张。拒绝。在这里,万豪似乎不知道所购买产品的脆弱性。尽管ICO从2018年5月起才将万豪的责任归于万豪,但它提醒我们公司应允许其网络专业人员(内部或其他方式)在任何收购和合并谈判中发挥积极作用,尤其是在目标收购中拥有丰富的个人数据。保险也将是关键,随着网络保险市场的成熟,风险的保险费用应成为规范。

ICO如何达到万豪标准?

ICO采用了其规定的五步流程 监管行动政策 在计算对万豪施加的罚款时。它首先确定万豪没有从违反中获得任何经济利益。但是,监管机构认为个人遭受了困扰,这可能是由于付款卡可能被取消(尽管没有任何实际财务损失的证据)以及违反事件后万豪酒店的呼叫中心接到的近60,000个呼叫而证明的。维护受违规影响的系统的措施,特别是考虑到万豪是大型国际连锁酒店。因此,ICO得出结论认为,数据泄露是严重的,因此必须受到巨额罚款。

ICO的最终罚款为2800万英镑,减少了20%,为2240万英镑。根据万豪的轻声陈述,为减轻事件的影响而采取的措施以及因COVID-19大流行而给万豪造成的经济影响,罚款进一步降低至1,840万英镑。它还认为,万豪已经与ICO的调查充分合作。

在这种情况下,与英国航空公司(“ BA”)相比,从最初的提案中减少罚款是很重要的。 COVID-19大流行给世界经济带来了沉重打击,其中旅行和旅游业遭受的打击最大。 ICO承认,在计算和减少两种罚款时都考虑了大流行的影响。尽管目前很有用,但对于无法维持必要的组织和技术措施以防止网络破坏或减轻其影响的人们,它将不会提供长期的救济。

图片来源: JHVE图片

发表评论