Przykładem może być sprawa sieci hoteli Marriott, która miała ponieść karę w wysokości 99 milionów funtów! Finalnie na Marriott nałożona została kara w wysokości 18,4 mln funtów, obniżona istotnie w stosunku do pierwotnej kary ze względu na skutki, jakie dotknęły firmy w związku z pandemią. Decyzja dotyczyła ataku hakerskiego z 2014 r. na sieć informatyczną hoteli Starwood Hotels and Resorts Worldwide Inc. Zdarzenie miało miejsce jeszcze przed wejściem w życie RODO. W wyniku ataku 339 mln rekordów dotyczących klientów hoteli Starwood z całego świata trafiło w ręce hakerów. Marriott przejął sieć hoteli Starwood w 2016 r., jednak dopiero we wrześniu 2018 r., czyli dwa lata po przejęciu i cztery miesiące po wejściu w życie RODO, odkryto, że dostęp do danych osobowych z przejętej bazy ma ktoś nieupoważniony!
Marriott nie przyjął na siebie odpowiedzialności za atak, podkreślając, że przed przejęciem był w stanie przeprowadzić jedynie ograniczone badanie duediligence systemów przetwarzania i baz danych Starwood. Podjął jednak wiele działań minimalizujących skutki ataku i zapobiegających podobnym zdarzeniom na przyszłość.
Pamiętaj! Kwestia ochrony danych osobowych nie może być pomijana w procesach fuzji i przejęć. Jeżeli nie zostanie przeprowadzony rzetelny audyt z zakresu ochrony danych osobowych – i to zarówno z perspektywy prawnej, jak i technicznej – konsekwencje tego zaniedbania mogą mieć daleko idące skutki, w tym finansowe.
