יום לאחר פרסום ההודעה על הכוונה להשית קנס ענק על חברת התעופה בריטיש איירוייז, רשות הגנת המידע בבריטניה (ICO) הודיעה על כוונתה להשית קנס גדול נוסף בסך 99 מיליון לירה שטרלינג (כ-125 מיליון דולר) על רשת המלונאות הבינלאומית מאריוט. הסיבה - פריצה למערכות החברה שהביאה לחשיפת פרטים של כ- 340 מיליון אורחים.
החקירה החלה בנובמבר 2018, לאחר שמאריוט דיווחה כי האקרים פרצו למערכות החברה ואספו פרטים של כ-339 מיליון אורחי הרשת, מתוכם כ-30 מיליון תושבי מדינות האיחוד האירופי לרבות 7 מיליון בריטיים. הפריצה עצמה התרחשה ארבע שנים לפני כן, ברשת המלונות Starwood, שמאריוט רכשה ב-2016. היא התגלתה רק ב- 2018. חקירת הרשות העלתה כי מאריוט לא ביצעה כראוי את בדיקת הנאותות שנערכה לפני רכישת החברה ולא דאגה לרמה נאותה של אבטחת מידע במערכותיה.
הנציבה הבריטית להגנת המידע, אליזבת דנהאם ציינה כי "ה-GDPR מבהיר שארגונים חייבים להיות אחראים למידע האישי שהם אוספים. זה יכול לכלול גם בדיקת נאותות ראויה כאשר מבצעים רכישה ויישום צעדים להערכה לא רק של המידע שנרכש אלא גם איך הוא מוגן."
מאריוט הודיעה כי היא מתכוונת לערער על ההחלטה וכי מאגר המידע של Starwood, שהיה היעד המקורי לפריצה, איננו נמצא עוד בשימוש.
ה-ICO מסר כי רשת המלונות שיתפה פעולה במהלך החקירה ומאז חשיפת הארוע, ביצעה שיפורים במערכות אבטחת המידע שלה, וכי תינתן לה הזדמנות להציג את עמדתה באשר לממצאי החקירה והקנס הצפוי. בנוסף, לפני שהרשות הבריטית תקבל החלטה סופית בעניין זה, יוכלו רגולטורים ממדינות נוספות באירופה, אשר תושביהן נפגעו בארוע, להגיש את הערותיהם לגבי ממצאי החקירה. מקור: רשות הגנת המידע בבריטניה והגרדיאן (מאת: מארק סוויני).