2019.07.12

Bristande due diligence utgör risk under GDPR


Hotellkedjan Marriott International förvärvade 2016 Starwood hotels grupp. 2018 upptäcktes en cyber incident i Starwoods IT-system som tros ha pågått sedan 2014, det vill säga innan förvärvet. Mariott International riskerar nu böter under GDPR för data incidenten. Brittiska tillsynsmyndigheten ICO, som leder utredningen mot Mariott International å övriga EU-medlemsstaters vägnar, har uttalat att Marriott brustit i sin due diligence vid förvärvet, samt att Marriott borde ha gjort mer för att säkra sina system, och avser att bötfälla Mariott med över £99 miljoner.

Information Commissioner Elizabeth Denham uttalade:

”The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected.”

För mer information se ICO:s hemsida här.