Udsigt til bøde på £99.000.000 – DKK876.941.579 – til hotelkæden Marriott
Det britiske datatilsyn forventes at udstede en bøde på hvad der svarer til ca. 877 mio. kr. til hotelkæden Marriott efter datatyveri af kontaktoplysninger, pas- og kreditkortinformationer for 339 millioner af hotelkædens gæster fra kædens database.
Marriotts database var svækket, efter at kæden i 2014 opkøbte hotelkæden Starwood, som på købstidspunktet havde svagheder i beskyttelsen af sin database. Dette opdagede Marriott ikke i forbindelse med sin due diligence af Starwood. Det var altså gennem Starwoods svage beskyttelse, at hackere fik adgang til data fra de 339 mio. gæster.
Afgørelsen er interessant, fordi den viser, at manglende due diligence ved opkøb af andre virksomheder i sig selv er i strid med persondataforordningens regler. I dette tilfælde er der tale om voldsomme summer – både i bøde men også i størrelsen af datalækket – men det er også relevant for mindre erhvervsdrivende, som måske opkøber andre mindre virksomheder eller fusionerer med dem. Man risikerer at hænge på de persondataretlige problemer, som findes i det andet selskab, selv hvis disse problemer er opstået før sammenlægningen.
Derudover er det interessant, at bøden pålægges moderselskabet Marriott, selvom Starwood i dag er et separat datterselskab. Dette skyldes formentlig den måde Marriott og Starwood har organiseret deres database, men det viser, at man heller ikke er sikker, bare fordi det selskab, der opkøbes, fortsætter i juridisk forstand.
Opfordringen må derfor være at man i forbindelse med opkøb, også selvom man er en lille eller mellemstor virksomhed, får lavet sin due diligence ordentligt – også i forhold til det opkøbte selskabs behandling af persondata.
Bøden er endnu ikke afgivet af det britiske datatilsyn ICO – beløbet stammer fra ICOs udkast til afgørelse fra juli 2019. ICO har indvilliget i at udskyde fristen for den endelige vedtagelse af bøden til den 31. marts 2020.