Tidligere var det stort sett slik at gjorde du en dårlig handel, så tapte du pengene. Den europeiske personverndirektivet kan ha gjort slike lærepenger adskillig dyrere.

I 2016 kjøpte hotellkjeden Marriott hotellkjeden Starwood og skapte med det en ny hotellgigant med en samlet årlig omsetning på 20 milliarder dollar. Men høyst sannsynlig angrer Marriott på deler av oppkjøpsprosessen, gitt de bøter det engelske Datatilsynet har varslet.

Saken er at det britiske datatilsynet har varslet en bot på litt over en milliard norske kroner på grunn av en hendelse i Starwood-kjeden som inntraff før Marriott tok over. Det oppsiktsvekkende er at boten likevel er utmålt på grunnlag av konsernets samlede omsetning etter sammenslåingen.

Av den nye samlede omsetningen på cirka 20 milliarder dollar, var det bare en mindre del, litt under seks milliarder dollar, som kom fra Starwood-delen.

Litt forenklet er fakta slik: Marriott sendte ut en pressemelding i november i fjor om at de noen uker tidligere hadde oppdaget at Starwood i 2014 var blitt utsatt for et massivt datainnbrudd:

  • Data om cirka 500 millioner bookinger og cirka 327 millioner hotellbesøkende var kommet på avveier.
  • Det gjaldt bla navn, telefonnummer, epostadresse, passnummer, fødselsdato samt betalingskortnumre og kortets utløpsdato for noen gjester.
  • Senere viste det seg at antallet var enda høyere.

Det britiske datatilsynet brukte bare fire måneder på å varsle et overtredelsesgebyr på cirka 1,1 milliarder kroner. De la til grunn i varselet at 30 millioner gjester var omfattet av databruddet, hvorav syv millioner i Storbritannia. Det varslede gebyret utgjør cirka 0,6 prosent av Marriotts globale 2018-omsetning og 2,1 prosent av Starwoods globale omsetning.

Gebyret kunne med andre ord ha vært adskillig større. Personverndirektivet (GDPR) åpner for gebyr på inntil fire prosent av den årlige globale, brutto omsetningen.

Marriott kan altså tilsynelatende slippe forholdsvis billig unna, antagelig fordi hverken Starwood eller Marriott bevisst har forsøkt å utfordre GDPR og fordi Marriott rapporterte avviket raskt etter at de ble oppmerksom på det. Marriott har selvfølgelig bestridt gebyret. De færreste selskaper aksepterer en milliard i bot uten å bestride den.

Begrunnelsen for gebyret er overraskende, men medfører at det britiske datatilsynet har eskalert betydningen av selskapsgjennomgang – «due diligence»- i oppkjøpsprosesser: Datatilsynets hovedbegrunnelse for gebyret er mangelfull selskapsgjennomgang ved oppkjøpet – Marriott burde ha oppdaget svikten i 2016, da oppkjøpet fant sted.

Dette har enorm betydning for mange aktører. For rådgivere og advokater i oppkjøpsprosesser er dette er kraftig varsko om at de spørsmål som stilles i oppkjøpsprosesser må være tilpasset en ny GDPR-hverdag. Det holder ikke lenger med generelle spørsmål om nødvendige rutiner og retningslinjer finnes; etterlevelse av sentrale punkter må kontrolleres med spørsmål om identifiserte avvik, sikkerhetstiltak og hvordan dette følges opp i praksis.

Dessuten har begrunnelsen konsekvenser for avtaler som inngås ved salg av selskaper. Hvem skal bære risikoen for at en mulig bot fra et europeisk datatilsyn – ikke bare det norske – utmåles på basis av ny samlet omsetning etter et oppkjøp? Selger, som kanskje er et lite oppstartsselskap og kjøpes av en etablert gigant? En oppstartsbedrift har jo neppe økonomisk løfteevne til å ta et slikt ansvar.

Og vil en etablert gigant tørre å kjøpe et mindre selskap der den ikke er trygg på om personvernet og it-sikkerheten er håndtert riktig?

Her blir det mange interessante diskusjoner fremover og vi ser at oppmerksomheten om hva slags reell økonomisk risiko man risikerer ved slike oppkjøp er økende.

I selskaper der persondata utgjør en betydelig del av selskapets verdi, må man fremover utvide selskapsgjennomgangen med driftsmessig og teknisk selskapsgjennomgang som dekker vurderinger av it-sikkerhet. Det gjelder typisk når kundedata og helsedataer er sentrale eiendeler.

Vi advokater må som et minimum kunne identifisere når slik teknisk gjennomgang er nødvendig. Dette vil bli den sikreste måten en virksomhet kan håndtere risiko ved oppkjøp av datatunge virksomheter. Allerede i dag undervurderes ofte kostnad og risiko forbundet med å overta og nyttiggjøre seg data som overtas fra andre virksomheter. Katta i sekken kan være at man ikke kan utnytte seg dataene som overtas; det kan nå også ligge en bombe begravet i sekken.

Denne bomben må man i det minste ha forsøkt å sniffe ut for å redusere risiko.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.