Obowiązkowa analiza stanu ochrony danych osobowych przy badaniu due diligence

Agnieszka Przedpełska
Agnieszka Przedpełska Młodszy prawnik
kontakt
Marcin Grott
Marcin Grott Radca Prawny
kontakt

Jedną z podstawowych zasad wprowadzonych przez RODO jest zasada rozliczalności. Przerzuca ona na organizacje ciężar wykazania, że podmioty te przestrzegają przepisy powołanego rozporządzenia. Przełożenie zasady rozliczalności na proces przejęć korporacyjnych oznacza, że badanie due diligence musi obejmować także analizę stanu ochrony danych osobowych w przejmowanym podmiocie lub grupie podmiotów.

Co w przypadku jeżeli kwestie ochrony danych osobowych w badaniu due diligence uzna się za mało istotne albo w ogóle pominie?

Taka pozorna oszczędność lub niedopatrzenie może skutkować nałożeniem kary finansowej w wysokości do 20 000 000 euro albo w wysokości do 4% całkowitego rocznego światowego obrotu, o czym przekonał się dotkliwie Marriott International. Na początku lipca 2019 r. brytyjski odpowiednik Urzędu Ochrony Danych Osobowych –  Information Commissioner’s Office („ICO”) – w odpowiedzi na zgłoszenie Marriott International do amerykańskiej Komisji Papierów Wartościowych i Giełd wydał oświadczenie o tym, że sieć luksusowych hoteli ma być ukarana za naruszenie RODO w wysokości 99,2 mln funtów (466,9 mln zł).

Potencjalna kara ma związek z wyciekiem danych osobowych ok. 339 milionów gości hoteli Starwood w wyniku wykrytej w 2018 r. luki w systemach grupy hoteli przejętej przez Marriott. Nieautoryzowany dostęp do danych osobowych miał miejsce od 2014 r., samo zaś przejęcie grupy hoteli Starwood przez Marriott nastąpiło w 2016 r.

Najciekawsze w tej sprawie jest to, że kara, która miałaby zostać nałożona dotyczy tak naprawdę naruszeń, których pierwotnie dopuściła się przejmowana spółka. Naruszenie RODO przez Marriott było wtórne w tym sensie, że według ICO polegało na niedochowaniu przez Marriott International wymaganej staranności przy badaniu due diligence kupowanej grupy hoteli Starwood i niewystarczającym zabezpieczeniu jej systemów. Elizabeth Denham, szefowa ICO, podkreśliła, że ​​organizacje muszą być odpowiedzialne za przechowywane przez siebie dane osobowe, co obejmuje przeprowadzenie należytego badania due diligence podczas nabywania przedsiębiorstw, także w zakresie ochrony danych osobowych. Dodała ona, że dane osobowe mają realną wartość, dlatego organizacje mają prawny obowiązek zapewnienia ich bezpieczeństwa, tak jak w przypadku innych aktywów. Jeśli tego obowiązku nie spełnią, ICO nie zawaha się podjąć zdecydowanych działań, gdy będzie to konieczne, tak aby chronić prawa obywateli.

Wniosek w niniejszej sprawie jest jeden – analiza stanu ochrony danych osobowych w ramach badania due diligence nie może być spychana na dalszy plan, ani traktowana jak sprawa drugorzędna. Przykład Marriottu pokazuje, że kwestie danych osobowych mają równoprawne (w tym finansowe) znaczenie względem innych zagadnień.


Bądź na bieżąco
Otrzymuj najnowsze informacje o zmianach w prawie i podatkach bezpośrednio na swojego maila.

Zapisz się na newsletter >>