日期：9 July 2019

國家：英國

關鍵字：董監責任、收購、旅館業、當責性、適當安全措施

GDPR：§5(2) (accountability)、§32 (security of processing)

裁決：行政罰鍰（£ 99 million）

摘要：

(1) 英國監管機關（Information Commissioner's Office (ICO)）擬對萬豪酒店集團（Marriott International, Inc）課處行政罰鍰（£ 99 million）。

(2) 起因是該集團在 2018 年 11 月間，發生一起資安事故，大約三億筆的全球客戶資料在該起事件中被曝光，其中有三千萬筆與歐洲經濟區（European Economic Area, EEA）的居民有關，其中有七百萬筆與英國居民有關。

(3) 據信，該漏洞始於喜達屋酒店集團在 2014 年發生的駭客入侵事件，而萬豪酒店集團在 2016 年收購了喜達屋集團（Starwood Hotels Group），但是遲至 2018 年才又發生本次客戶資訊外洩事件。

(4) 監管機關調查發現，萬豪酒店集團在收購喜達屋集團時，並未進行充分的盡職調查（due diligence），事後，也沒有採取更多的安全措施來保護其資訊系統。

(5) 監管機關表示：GDPR 規定的很清楚，任何組織都必須對其持有的個人資料負責。這包括在進行公司收購時，必須進行適當的盡職調查，並採取適當的當責措施（accountability measures），以評估究竟取得何種個人資料，以及該等資料被何種措施予以保護。由於個人資料確實具有價值，因此，組織負有法律義務以保護個人資料之安全，就如同組織取得其他類型的資產一樣。如果組織沒有這麼做，我們將毫不猶豫地在必要時，採取強而有力的行動來保護公眾的權利。