日期:9 July 2019
國家:英國
關鍵字:董監責任、收購、旅館業、當責性、適當安全措施
GDPR:§5(2) (accountability)、§32 (security of processing)
裁決:行政罰鍰(£ 99 million)
摘要:
(1) 英國監管機關(Information Commissioner's Office (ICO))擬對萬豪酒店集團(Marriott International, Inc)課處行政罰鍰(£ 99 million)。
(2) 起因是該集團在 2018 年 11 月間,發生一起資安事故,大約三億筆的全球客戶資料在該起事件中被曝光,其中有三千萬筆與歐洲經濟區(European Economic Area, EEA)的居民有關,其中有七百萬筆與英國居民有關。
(3) 據信,該漏洞始於喜達屋酒店集團在 2014 年發生的駭客入侵事件,而萬豪酒店集團在 2016 年收購了喜達屋集團(Starwood Hotels Group),但是遲至 2018 年才又發生本次客戶資訊外洩事件。
(4) 監管機關調查發現,萬豪酒店集團在收購喜達屋集團時,並未進行充分的盡職調查(due diligence),事後,也沒有採取更多的安全措施來保護其資訊系統。
(5) 監管機關表示:GDPR 規定的很清楚,任何組織都必須對其持有的個人資料負責。這包括在進行公司收購時,必須進行適當的盡職調查,並採取適當的當責措施(accountability measures),以評估究竟取得何種個人資料,以及該等資料被何種措施予以保護。由於個人資料確實具有價值,因此,組織負有法律義務以保護個人資料之安全,就如同組織取得其他類型的資產一樣。如果組織沒有這麼做,我們將毫不猶豫地在必要時,採取強而有力的行動來保護公眾的權利。