Milijoninės baudos už BDAR pažeidimus primena investuotojams: įvertinkite, ar perkamoje įmonėje asmens duomenys buvo tvarkomi tinkamai

Įsigaliojus Bendrajam duomenų apsaugos reglamentui baudos už asmens duomenų apsaugos pažeidimus tapo milžiniškos, o apsaugoti asmens duomenis tapo iššūkiu ne tik įmonėms, bet ir investuotojams, įsigyjantiems didelius duomenų kiekius tvarkančias įmones.

Naujausia ES priežiūros institucijų praktika parodė, kaip svarbu tinkamai atlikti namų darbus ir įvertinti įmonių, į kurias ketinama investuoti, atitiktį duomenų apsaugos įstatymams.

Liepos 9 dieną Jungtinės Karalystės duomenų apsaugos priežiūros institucija ICO (angl. Information Commissioner‘s Officer) informavo ketinanti „Marriott International“ skirti 99,2 mln. GBP baudą už BDAR pažeidimus. Ši bauda susijusi su kibernetiniu incidentu, apie kurį „Marriott“ pranešė ICO dar 2018 m. lapkričio mėn. Incidento metu iš „Starwood Hotels“ tinklo, kuris priklauso „Marriott International“, duomenų bazės buvo pavogta daugiau nei 300 mln. rezervacijų duomenys. Manoma, kad duomenys tapo prieinami įsilaužėliams dar 2014 m., pažeidus „Starwood“ viešbučių grupės sistemas, tačiau šis incidentas buvo pastebėtas tik 2018 m. Visą šį laiką įsilaužėliai turėjo neteisėtą prieigą prie „Starwood“ sistemose esančių duomenų, o tarp pavogtų duomenų buvo vardai, pašto adresai, telefono numeriai, elektroninio pašto adresai, paso numeriai, gimimo datos ir kiti duomenys.

Įdomu tai, kad „Marriott“ įsigijo „Starwood“ viešbučių tinklą po įsilaužimo, t. y. 2015 m. (sandorio užbaigimas įvyko 2016 m.), tačiau perkant tinklą tai nebuvo identifikuota. Tyrimo metu ICO nustatė, kad „Marriott“ neatliko tinkamo patikrinimo (angl. due dilligence), kai įsigijo „Starwood“, ir taip pat nedėjo pakankamų pastangų, kad užtikrintų savo sistemų, kuriose tvarkomi asmens duomenys, saugumą. Todėl ketinama skirti bauda yra apskaičiuota visos „Marriott International“ įmonių grupės pasaulinės apyvartos pagrindu.

ICO atstovė nurodė, kad „BDAR aiškiai pasakyta, kad organizacijos atsako už jų turimus asmens duomenis. Tai gali apimti tinkamo patikrinimo atliekant įmonių įsigijimą atlikimą ir tinkamų atskaitomybės priemonių įgyvendinimą, kad būtų galima įvertinti ne tik tai, kokie asmens duomenys buvo gauti, bet ir kaip jie apsaugoti.“ Kitaip tariant, investuotojas turi pareigą atlikti tinkamą perkamos įmonės patikrinimą ir įvertinti duomenų saugumo situaciją. Priešingu atveju, atsiradus pažeidimui, atsakomybė gali būti pritaikyta ir bauda skirta visos investuotojo įmonių grupės mastu net ir tuo atveju, jei incidentas prasidėjo tuo metu, kai investuotojas neturėjo perkamos įmonės kontrolės.

Ši Jungtinės Karalystės priežiūros institucijų praktika yra itin svarbi kiekvienai įmonei, kuriai taikomas BDAR, nes ICO vykdoma BDAR taikymo praktika seka ir kitų ES valstybių narių priežiūros institucijos. Iš šio ICO tyrimo galima daryti išvadas, kad kiekvienas investuotojas turėtų tinkamai atlikti namų darbus ir pirmiausia investuoti į tinkamą perkamos įmonės ar jų grupės tiek teisinį, tiek techninį asmens duomenų tvarkymo patikrinimą, nustatyti, kokia yra duomenų saugumo būklė įmonėje, ir tai užfiksuoti.

 

Advokatė Asta Macijauskienė yra advokatų kontoros GLIMSTEDT vyresnioji teisininkė, bendrovių teisės, M&A ir duomenų apsaugos ekspertė.

Užsisakykite svarbiausias naujienas