123 מיליון דולר. זה סכום הקנס (בקירוב) שמשרד הבריטי הממונה על המידע (ICO) ציין כי בכוונתו להטיל על רשת מלונות Marriot בגין אירוע סייבר שהביא לכאורה לחשיפת 399 מיליון רשומות הנוגעות לאורחי הרשת. מהודעת ה-ICO עולה, כי אירוע הסייבר החל במערכות של קבוצת מלונות Starwood כשנתיים לפני רכישת הקבוצה על-ידי Marriot בשנת 2016. מהודעת ה-ICO עולה, כי Marriot גילתה על הפירצה רק ב-2018 ודיווחה עליה ל-ICO.
ה-ICO קבע כי במסגרת דרישת האחריות (accountability) שה-GDPR מטיל על חברות, נכללת החובה לערוך בדיקת נאותות ברמה מספקת טרם רכישת חברה. במסגרת זו, על החברה הרוכשת לבחון לא רק את טיב המידע האישי הנרכש, אלא אף את האופן שבו הוא מוגן. על רקע זה, קבע ה-ICO כי Marriott לא ערכה בדיקת נאותות מספקת טרם רכישת Starwood וכי היה על Marriott לעשות יותר כדי לאבטח את מערכותיה.
הודעת ה-ICO מחדדת את החשיבות בעריכת בדיקת נאותות מקיפה בתחומי הסייבר והגנת הפרטיות בעסקאות M&A, בפרט כאשר מדובר ברכישה או במיזוג של חברות אשר מחזיקות במידע אישי רב. דומה שההודעה גם מסמנת את תחילת השימוש בקנסות משמעותיים ככלי לאכיפת ה-GDPR, כשנה לאחר כניסתה לתוקף.
* עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנדונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.
להרשמה לעדכונים נוספים בתחום: לחץ כאן
