Den brittiska tillsynsmyndigheten för dataskydd (ICO) har för avsikt att bötfälla British Airways och Marriott International med 183,39 respektive 99,2 miljoner pund. I båda fallen döms böterna ut i samband med inträffade personuppgiftsincidenter.
Brittish Airways
Det föreslagna bötesbeloppet avser en cyberincident som anmäldes till ICO av British Airways i september 2018. Incidenten avsåg användartrafik på British Airways webbplats som omdirigerades till en bedräglig webbplats som plockade kundernas personuppgifter. Incidenten gällde cirka 500 000 kunder.
ICO:s undersökning visade att en mängd personuppgifter äventyras på grund av dåliga säkerhetsåtgärder hos företaget. Personuppgifterna omfattar inloggningsuppgifter, uppgifter till betalkort, reseinformation samt namn och adressinformation.
Läs ICO:s blogginlägg om ärendet här.
Marriott International
I fallet Marriott avser böterna en cyberincident som anmäldes till ICO i november 2018. Incidenten har drabbat ca 339 miljoner gäster som registrerat sig i Marriots globala register, varav 30 miljoner var invånare i EU/EES.
Sårbarheten som ledde till incidenten antas ha börjat när Starwood Hotels system äventyrades under 2014. Marriott förvärvade Starwood Hotels 2016, men exponeringen av kundinformation upptäcktes först 2018. ICO:s undersökning visade att Marriott inte lyckades genomföra tillräcklig due diligence när de köpte Starwood Hotels och att de borde ha vidtagit fler åtgärder för att säkra sina system.
De personuppgifter som var inblandade i incidenten skilde sig mellan individer men innehöll bland annat namn, e-postadresser, telefonnummer, okrypterade passnummer, ankomst- och avgångsinformation, gästernas VIP-status och medlemskap i lojalitetsprogram.
Läs ICO:s blogginlägg om ärendet här.
Vad händer nu?
Företagen ges nu möjlighet att inkomma med svar till ICO avseende genomförda utredningar och föreslagna sanktioner. Efter att företagen har inkommit med svaren kommer ICO att fatta det slutgiltiga beslutet.
Kommer liknande böter att delas ut i Sverige?
Än så länge har Datainspektionen varit återhållsam när det gäller att belägga företag och andra organisationer med sanktionsavgifter. Då dataskyddsförordningen (GDPR) är en europeisk lagstiftning kommer det på sikt kräva en harmonisering av tillsynsmyndigheternas agerande avseende sanktionsavgifter. Allt annat skulle innebära en konkurrensfördel för ett medlemsland i EU om en tillsynsmyndighet i det landet skulle välja att bötfälla färre företag och andra organisationer med mindre belopp än ett annat medlemsland.
Hur kan du förbereda dig?
Det viktigaste för företag, myndigheter och andra organisationer är att förebygga personuppgiftsincidenter genom att implementera lämpliga organistariska och tekniska säkerhetsåtgärder. I fallet en incident inträffar ska hela verksamheten fokusera på ett skyndsam och transparent utredning, givetvis i samarbete med tillsynsmyndigheten.