Az adatvédelmi és adatbiztonsági megfelelőséget is árazási tényezőként kell figyelembe venni a cégfelvásárlási tranzakciók során, mivel utólag sokba kerülhet a vevőnek, ha nem vizsgálja meg a személyes adatok védelmével kapcsolatos eljárásokat a céltársaságnál.
Az Európai Unió Általános Adatvédelmi Rendelete, a GDPR 2018. május 25-i hatályba lépésével felértékelődött az adatvédelem és adatbiztonság jelentősége a felvásárlások során is. Számos buktató van az eladói és a vevői oldalon is, az adatvédelmi követelményeknek való megfelelés elmulasztása akár 20 millió eurót meghaladó adatvédelmi bírságot is jelenthet, de akár a tranzakció meghiúsulásához is vezethet.
Árazási tényező
A személyes adatok védelmére vonatkozó intézkedések céltársaság általi elmulasztása és annak a tranzakciót megelőző vevő általi részletes feltárásának hiánya utólag sokba kerülhet a felvásárló cégnek, különösen olyan tranzakciók esetén, ahol a személyes adatok jelentős értékkel bírnak. A kiemelt pénzügyi kockázat miatt az adatvédelmi és adatbiztonsági megfelelőséget is árazási tényezőként kell figyelembe venni az ügyletek során, ugyanis a felvásárlás előtt nem észlelt adatvédelmi incidensek később komoly felelősségi kérdéseket vethetnek fel a felek között, ha ez nem kerül előzetesen „beárazásra”.
„Ennek elkerülése érdekében az ügyletet megelőző átvilágításnak ki kell terjednie a céltársaság adatvédelmi megfelelőségére és az átvilágítás során tapasztaltakkal kapcsolatos felelősségi kérdéseket a tranzakciós szerződésben kell rendezni, illetve azt is, ha a tranzakciót megelőzően kizárólag korlátozott adatvédelmi átvilágítás történt és várhatóan további kockázatokra derülhet fény az akvizíció zárását követően” – mutatott rá dr. Majoros Gábor T., a Deloitte Legal ügyvédje.
Személyes adatok üzleti célú felhasználása
Ha a tranzakció részeként személyes adatok átadása is szükséges a vevő részére azt meg kell tervezni, hogy az adatok átadása minden esetben jogszerű legyen és ne a tranzakciót követően derüljön ki, hogy a vevő nem jogosult a személyes adatokat a továbbiakban saját üzleti céljára felhasználni, ilyen lehet például az eladó marketinglistája, amit jogilag nem minden esetben lehet használni.
„Ez különösen az eszköz és üzletág átruházással járó tranzakciók esetében fordulhat elő, illetve olyan akvizíciók esetében, ahol maga a személyes adat a megszerzendő fő vagyoni érték, ezért az ügylet struktúrájának kialakításakor szükséges a személyes adatok felhasználásának korlátait is figyelembe venni. Ugyanez a kockázat felmerül az eladói oldalon is, ha a tervezett tranzakciót megelőzően nem biztosítja az adatvédelmi megfelelőséget, és csak a vevői átvilágítás során derül fény azokra a jogi akadályokra, amelyek jelentősen befolyásolják az árazást vagy meghiúsítják az ügyletet” – tette hozzá Majoros Gábor T.
Adatvédelem az adatszobában
A személyes adatok védelmére már az adatszoba összeállítása során is különös figyelmet kell fordítani, különösen az adatminimum elvének megfelelően kell eljárni, mert a tranzakciót megelőző átvilágítás során adatvédelmi szempontú akadályai lehetnek annak, hogy a vevő korlátozás nélkül megismerje a céltársaság dokumentumait. A vevő részére átadott személyes adatok vevő általi jogszerű kezelésének előfeltétele, hogy azokat az eladó jogszerűen kezelje, ezért az eladónak szavatolnia kell az adatkezelés és adatmegosztás jogszerűségéért.
A tapasztalatok alapján az ügyletek szempontjából csak ritkább esetben szükséges a személyes adatok vevő részére történő átadása, ezért az eladónak az adatszoba összeállítása előtt az átadásra kerülő dokumentumokat anonimizálnia (redaktálnia) vagy a személyes adatokat álnevesítenie kell, azaz a személyes adatokat a dokumentumokból olyan módon kell eltávolítani, hogy abból az érintett, pl. magánszemély ügyfél vagy kezes ne legyen azonosítható. Amennyiben a személyes adatok átadása az ügylet szempontjából feltétlenül szükséges, abban az esetben biztosítani kell az adatátadás jogszerűségét és annak az érintettek számára is transzparensnek kell lennie.
Adatkezelési szempontból az adatszoba üzemeltetője az eladó adatfeldolgozójának minősül, ezért fontos, hogy a felek a személyes adatok adatszobába történő feltöltését megelőzően a GDPR-nak megfelelő adatfeldolgozási szerződést kössenek, amelyben rendelkezni kell az adatok törléséről, incidenskezelésről.
Adattovábbítás harmadik országba
Személyes adatok átadása során figyelni kell, hogy továbbítják-e azokat harmadik országba. A dokumentumok harmadik országban (Európai Gazdasági Térségen kívüli tagállam) üzemeltetett szerveren működő virtuális adatszobába történő feltöltése, valamint harmadik országból történő adatszobába való belépés is ilyen adattovábbításnak minősül. Ha a személyes adatokat harmadik országba továbbítják, biztosítani kell, hogy az adattovábbítás a GDPR-ban meghatározott megfelelőségi határozaton, megfelelő garancián, vagy valamely különös helyzetben biztosított eltérésen alapuljon.
„Az előzőekből jól érzékelhető, hogy az adatvédelmi szabályoknak való megfelelés nemcsak a céltársaság működése szempontjából kiemelt jelentőségű, hanem egy esetleges vállalatfelvásárlást megelőző átvilágítás során is nagyfokú figyelmet kell fordítani az alkalmazandó jogszabályok szerinti eljárásra. Erre az adatokat átadó eladói oldalnak kell figyelemmel lennie.
Egy felvásárlás során vevői oldalról fokozottan fontos szempont, hogy minél mélyrehatóbban és minél szélesebb körben megvizsgálásra kerüljön az adott céltársaság adatvédelmi szabályoknak való megfelelése. Minél pontosabban feltárásra kerülnek a céltársaság adatvédelmi gyakorlatából eredő kockázatok, annál jobb megoldás biztosítható ezekre a kockázatokra vonatkozóan az adásvételi szerződésben.” – hangsúlyozza dr. Göndöcz Péter, a Deloitte Legal partnere.