- TechCrunch
VIVA – Jaringan hotel mewah global asal Amerika Serikat (AS), Marriott International, dijatuhi sanksi denda oleh Komisi Informasi Pusat (Information Commisioner Office/ICO) sebesar 18,4 juta poundsterling atau Rp348,7 miliar, karena kasus kebocoran 339 juta data pribadi tamu hotelnya.
ICO mengatakan, data tersebut meliputi nama, alamat email, nomor telepon, nomor paspor, informasi kedatangan dan keberangkatan, status VIP hingga nomor program loyalitas. Dari 339 juta data pribadi yang bocor, sebanyak 7 juta tamu berasal dari Inggris.
Baca: Hotel Mewah Asal AS yang Beroperasi di Indonesia Didenda Rp1,7 Triliun
"Marriott International terbukti gagal menjaga keamanan ratusan juta data pribadi pelanggan. Mereka menghubungi saluran bantuan dan harus mengambil tindakan untuk melindungi data pribadi mereka sendiri. Karena, perusahaan yang mereka percayai tidak melakukannya," kata Ketua ICO, Elizabeth Denham, seperti dikutip dari TechCrunch, Minggu, 1 November 2020.
Pusat data atau database pemesanan kamar Marriott International diretas oleh hacker pertama kali pada 2014, termasuk data tamu di jaringan hotel Starwood yang diakuisisi oleh Marriott dua tahun kemudian. Investigasi atas insiden tersebut mengungkapkan, bahwa peretas telah mengakses jaringan Starwood Hotels and Resorts Worldwide Inc. sejak enam tahun lalu.
Denham juga menyebut penyelidikan yang dilakukan oleh ICO juga menyimpulkan bahwa hotel bintang lima yang juga beroperasi di Indonesia itu telah gagal menerapkan tindakan teknis atau secara organisasi untuk melindungi data pribadi yang sedang diproses di sistemnya, sebagaimana diwajibkan oleh GDPR (General Data Protection Regulation).
Meskipun memberlakukan denda, ICO mengakui Marriott telah bertindak cepat setelah menemukan kelemahan perlindungan dan telah memperbaiki sistemnya sejak saat itu. Dalam sebuah pernyataan, Marriott International menulis sangat menyesali insiden tersebut.
Pada Juli 2019, ICO mengumumkan niat untuk mendenda Marriott 99 juta poundsterling (Rp1,7 triliun) atas pelanggaran data pribadi. Namun, ICO mempertimbangkan kembali untuk mengurangi besaran denda karena dampak pandemi COVID-19 terhadap sektor ekonomi.
Meski begitu, penerapan denda atas pelanggaran data pribadi ini berkat adanya GDPR di Eropa pada 2018. Denham mengatakan, lewat aturan ini, regulator memiliki kekuasaan untuk mengenakan denda kepada perusahaan yang terbukti melakukan pelanggaran atas data pribadi.
"GDPR menjelaskan bahwa organisasi atau perusahaan harus bertanggung jawab atas data pribadi yang mereka miliki. Hal ini mencakup ketika perusahaan mengakuisisi perusahaan lain, dan menerapkan langkah-langkah pertanggungjawaban yang tepat. Tujuannya agar bisa melindungi data pribadi yang mereka raih," ungkapnya.
