Den brittiska dataskyddsmyndigheten The Information Commissioner’s Office (“ICO”) har bötfällt Marriott International Inc. med 18,4 miljoner pund för brott mot artiklarna 5.1 (f) och 32 i dataskyddsförordningen (“GDPR”). Bötesbeloppet är dock betydligt lägre än det belopp om 99,2 miljoner pund som myndigheten aviserat för i juli 2019 (läs mer om detta här).
Av beslutet framgår att Marriott misslyckats med att implementera lämpliga tekniska eller organisatoriska åtgärder för att skydda de personuppgifter som behandlades i företagets system, vilket är ett krav enligt artiklarna 5.1 (f) och 32 i GDPR. Enligt ICO:s utredning skedde cyberattacken redan 2014, men sanktionsavgifterna avser endast tidsperioden från den 25 maj 2018 då de nya sanktionsreglerna enligt GDPR trädde i kraft.
Vid beräkningen av sanktionsavgifterna har ICO bland annat beaktat de ekonomiska effekterna COVID-19 haft på Marriotts verksamhet, avsaknaden av tidigare överträdelser, att Marriott inte underlåtit att följa myndighetens tidigare beslut, samt det faktum att Marriott samarbetat fullt ut med myndigheten i ärendet och att företaget vidtagit åtgärder för att underrätta de drabbade registrerade.
Eftersom överträdelsen inträffade innan Storbritannien lämnade EU har samtliga EU:s ledande tillsynsmyndigheter godkänt påföljden i enlighet med GDPR:s samarbetsprocess.
Du kan läsa pressmeddelandet här och beslutet om sanktionsavgifter här, båda endast tillgängliga på engelska.