这笔罚款与这家酒店巨头自2014年以来遭受的数据泄露有关(涉及它在2015年收购的喜达屋酒店网络)-但直到2018年11月才被发现。
涉及信息泄露的个人数据因人而异,但ICO表示,这些数据可能包括姓名、电子邮件地址、电话号码、未加密的护照号码、抵达/离开信息、客人的VIP身份和忠诚度计划会员号码。
在全球范围内,约有3.39亿份客人记录受到影响,但由于一些记录是重复的,据信被泄露的个人较少。根据ICO早些时候的估计,此次入侵被认为影响了整个欧盟约3000万用户。
它的调查发现,万豪没有按照泛欧盟一般数据保护条例(GDPR)的要求,“采取适当的技术或组织措施来保护人们的数据”。(处罚只涵盖2018年5月25日-GDPR生效以来的违规部分。)。
英国信息专员伊丽莎白·德纳姆(Elizabeth Denham)在一份声明中表示:“数百万人的数据受到万豪失败的影响;数千人联系了帮助热线,其他人可能不得不采取行动保护他们的个人数据,因为他们信任它的公司没有采取行动。”当一家企业未能看管客户的数据时,影响不仅仅是可能的罚款,最重要的是他们有责任保护其数据的公众。“。
万豪的一位发言人告诉我们,公司对这一事件“深感遗憾”,并在一份声明中补充道:“万豪仍然致力于保护客人信息的隐私和安全,并继续在其系统的安全措施上投入大量资金。”ICO认可万豪酒店在发现该事件后采取的迅速通知和保护客人利益的措施。“。
这家酒店巨头还证实,它不打算对ICO的决定提出上诉(同时也不承认任何责任)。
根据GDPR针对跨境案件的一站式机制,罚款必须得到其他欧盟数据保护机构的批准。ICO证实,它在发布处罚之前完成了第60条的程序。
这里一个有趣的因素是ICO提出的初始处罚和最终罚款之间的差异。
GDPR框架大大提高了对数据泄露的潜在处罚规模,最高可达2000万GB或实体全球年营业额的4%(以较大者为准)。在此之前,该地区存在数据保护规则,但考虑到轻微的处罚,这些规则很容易被忽视。GDPR本应改变这一点。
然而,在该框架开始应用近2.5年后,巨额罚款仍然很少见-积压的重大跨境案件仍在等待裁决。
监管机构可能还会担心,如果公司上诉,能否让大笔金额站稳脚跟。
ICO对万豪违规行为的初步处罚,将是根据GDPR开出的最大罚单之一。今天的理发修正了这一点。第一个提出的数字约占该公司2018年收入(约36亿美元)的3%-但现在这一数字已缩减至0.6%左右。
在此之前,英国航空公司(BA)的数据泄露事件在ICO也发生了非常类似的事件。2019年7月,监管机构表示,它打算对这架客机处以1.8339亿GB(合2.3亿美元)的罚款,原因是2018年数据泄露影响了约50万客户。但本月早些时候,它向英国航空公司开出了2000万英镑(2580万美元)的最终罚单。
在这两个案例中,冠状病毒的影响似乎在一定程度上解释了为什么ICO降低了处罚规模。尽管考虑到所涉及的大量削减,大流行可能在某种程度上是一个有用的替罪羊。(例如,监管机构还利用它来“暂停”任何针对重大广告投诉的行动。)。
对于万豪的处罚减记,ICO所要说的就是,它“在设定最终处罚之前,考虑了万豪的陈述,万豪为减轻事件影响所采取的措施,以及新冠肺炎对其业务的经济影响”。
关于罚金金额的降低,万豪告诉我们,这反映出它在安全事件发生后采取了“广泛的缓解措施”--指出它建立了一个专门的网站,向忧心忡忡的客人提供信息;开通了专门的帮助热线;并向信息涉及违规行为的个人发送了“数百万”电子邮件通知。该公司还表示,它为客人提供了注册个人信息监控服务的机会,如果有的话。
ICO在发布罚款的初步意图后,也同样接受了英航的交涉-根据我们的报告,最终导致了小幅折扣,尽管我们报告称,英航减少的最大份额是由于修改了它对违规行为对航空公司的指责程度。
当被问及对ICO的处罚发型有何看法时,英国数据保护培训和顾问蒂姆·特纳(Tim Turner)同意,冠状病毒看起来像是一个方便的替罪羊。
他告诉TechCrunch:“我不是在指责ICO助长了误解,但认为这些减少的罚款是由于大流行造成的印象对他们非常有帮助。”“他们显然计算错了英国航空公司和万豪酒店的罚金,差距很大,他们并不真的否认这一点。通知只是在最初的错误已经被纠正的基础上溜走了,所以这无关紧要。
“ICO根据一份未公布的程序草案提出了远远超出欧盟任何地方的罚款。他们应该对此做出解释,而不是让所有人都认为这是新冠肺炎的一个很大的折扣。“