Az adatvédelmi és adatbiztonsági megfelelőséget is árazási tényezőként kell figyelembe venni a cégfelvásárlási tranzakciók során, mivel utólag sokba kerülhet a vevőnek, ha nem vizsgálja meg a személyes adatok védelmével kapcsolatos eljárásokat a céltársaságnál.

Az Európai Unió Általános Adatvédelmi Rendelete, a GDPR 2018. május 25-i hatályba lépésével felértékelődött az adatvédelem és adatbiztonság jelentősége a felvásárlások során is. Számos buktató van az eladói és a vevői oldalon is, az adatvédelmi követelményeknek való megfelelés elmulasztása akár húszmillió eurót meghaladó adatvédelmi bírságot is jelenthet, de akár a tranzakció meghiúsulásához is vezethet.

Felelősségi kérdések

A személyes adatok védelmére vonatkozó intézkedések céltársaság általi elmulasztása és annak a tranzakciót megelőző vevő általi részletes feltárásának hiánya utólag sokba kerülhet a felvásárló cégnek, különösen olyan tranzakciók esetén, ahol a személyes adatok jelentős értékkel bírnak. A kiemelt pénzügyi kockázat miatt az adatvédelmi és adatbiztonsági megfelelőséget is árazási tényezőként kell figyelembe venni az ügyletek során, ugyanis a felvásárlás előtt nem észlelt adatvédelmi incidensek később komoly felelősségi kérdéseket vethetnek fel a felek között, ha ez nem kerül előzetesen „beárazásra”.

„Ennek elkerülése érdekében az ügyletet megelőző átvilágításnak ki kell terjednie a céltársaság adatvédelmi megfelelőségére és az átvilágítás során tapasztaltakkal kapcsolatos felelősségi kérdéseket a tranzakciós szerződésben kell rendezni. Továbbá azt is, ha a tranzakciót megelőzően kizárólag korlátozott adatvédelmi átvilágítás történt és várhatóan további kockázatokra derülhet fény az akvizíció zárását követően” – mutatott rá Majoros Gábor, a Deloitte Legal ügyvédje.

Személyes adatok üzleti célú felhasználása

Ha a tranzakció részeként személyes adatok átadása is szükséges a vevő részére azt meg kell tervezni, hogy az adatok átadása minden esetben jogszerű legyen és ne a tranzakciót követően derüljön ki, hogy a vevő nem jogosult a személyes adatokat a továbbiakban saját üzleti céljára felhasználni. Ilyen lehet például az eladó marketinglistája, amit jogilag nem minden esetben lehet használni.

„Ez különösen az eszköz és üzletág átruházással járó tranzakciók esetében fordulhat elő, illetve olyan akvizíciók esetében, ahol maga a személyes adat a megszerzendő fő vagyoni érték, ezért az ügylet struktúrájának kialakításakor szükséges a személyes adatok felhasználásának korlátait is figyelembe venni. Ugyanez a kockázat felmerül az eladói oldalon is, ha a tervezett tranzakciót megelőzően nem biztosítja az adatvédelmi megfelelőséget, és csak a vevői átvilágítás során derül fény azokra a jogi akadályokra, amelyek jelentősen befolyásolják az árazást vagy meghiúsítják az ügyletet” – tette hozzá Majoros Gábor.

Adatvédelem az adatszobában

A személyes adatok védelmére már az adatszoba összeállítása során is különös figyelmet kell fordítani.

A tapasztalatok alapján az ügyletek szempontjából csak ritkább esetben szükséges a személyes adatok vevő részére történő átadása, ezért az eladónak az adatszoba összeállítása előtt az átadásra kerülő dokumentumokat anonimizálnia (redaktálnia) vagy a személyes adatokat álnevesítenie. Azaz a személyes adatokat a dokumentumokból olyan módon kell eltávolítani, hogy abból az érintett, például magánszemély ügyfél vagy kezes ne legyen azonosítható. Amennyiben a személyes adatok átadása az ügylet szempontjából feltétlenül szükséges, abban az esetben biztosítani kell az adatátadás jogszerűségét és annak az érintettek számára is transzparensnek kell lennie.

Adatkezelési szempontból az adatszoba üzemeltetője az eladó adatfeldolgozójának minősül, ezért fontos, hogy a felek a személyes adatok adatszobába történő feltöltését megelőzően a GDPR-nak megfelelő adatfeldolgozási szerződést kössenek, amelyben rendelkezni kell az adatok törléséről, incidenskezelésről.

Adattovábbítás harmadik országba

Személyes adatok átadása során figyelni kell, hogy továbbítják-e azokat harmadik országba. A dokumentumok harmadik országban (Európai Gazdasági Térségen kívüli tagállam) üzemeltetett szerveren működő virtuális adatszobába történő feltöltése, valamint harmadik országból történő adatszobába való belépés is ilyen adattovábbításnak minősül. Ha a személyes adatokat harmadik országba továbbítják, biztosítani kell, hogy az adattovábbítás a GDPR-ban meghatározott megfelelőségi határozaton, megfelelő garancián, vagy valamely különös helyzetben biztosított eltérésen alapuljon.

Borítókép: pixabay, forrás: Deloitte