Mojmír Ježek a Roman Macháček v právním a daňovém newsletteru Česko-německé obchodní komory 2 2018 k problematice GDPR v rámci M&A transakce

Ochrana osobních údajů v rámci due diligence a M&A transakce z pohledu prodávajícího, kupujícího a cílové společnosti

Praha 9.10.2018

Právní a daňový newsletter říjen 2018

Nařízení Evropské unie o ochraně osobních údajů – GDPR – má zásadní vliv i na oblast M&A trans- akcí. Povinnosti stanovené nově GDPR nutí všechny strany zúčastněné na akviziční transakci, aby přehodnotily své dosavadní postupy a nastavily nová pravidla ochrany osobních údajů, která budou v souladu s GDPR, zejména ve vztahu k prověrce společnosti a zřízení data roomu.

Kupující se v důsledku zpřístupnění osobních údajů v rámci due diligence kupované společnosti stane správcem osobních údajů. Prodávající a kupovaná společnost jako dosavadní správci budou muset zajistit, aby osobní údaje byly zpřístupněny v souladu s GDPR, tj. pouze v nezbytně nutném rozsahu pro dokončení transakce a výlučně oprávněným osobám.

Postavení prodávajícího při M&A transakci z hlediska GDPR

Prodávající by měl již v rámci přípravné fáze prodeje společnosti zajistit zabezpečený způsob, ja- kým budou zájemcům zpřístupňovány dokumenty pro účely provedení právní nebo jiné prověrky. Takovým způsobem bude ve většině případů virtuální data room. Data room by měl být dostatečně zabezpečen před neoprávněným nakládáním s osobními údaji a jejich možným únikem tak, aby vy- hovoval požadavkům GDPR. Bude se především jednat o šifrování uložených dokumentů, nastavení přístupových práv pro jednotlivé uživatele, uživatelské logy atd.

Pokud se prodávající rozhodne využít služeb externího poskytovatele, měla by s ním prodávaná společnost jako správce osobních údajů nejdříve uzavřít smlouvu o zpracování osobních údajů. Poskytovatel data roomu se totiž stane zpracovatelem osobních údajů. Ve smlouvě o zpracování osobních údajů bude nezbytné upravit zejména rozsah osobních údajů zpřístupněných prostřednictvím data roomu a sjednat záruky ohledně jejich ochrany a mlčenlivosti, včetně jejich likvidace po uzavření data roomu, záruky, aby osobní údaje byly v případě jejich předání do třetí země mimo EU předány výhradně v souladu s GDPR atd. Jelikož se uzavřením smlouvy prodávající ani kupovaná společnost zcela nezbaví své odpovědnosti za ochranu osobních údajů uložených v data roomu, lze doporučit i požadavek na odškodnění v případě porušení povinností stanovených GDPR.

Mnohé společnosti zpřístupňují osobní údaje pro potřeby due diligence prostřednictvím běžně užívaných cloudových uložišť, jakými jsou například Dropbox, iCloud, Google Drive, OneDrive anebo uloz.to. Takový postup nelze z pohledu GDPR doporučit. Tyto služby totiž ve většině případů neumožňují nastavit dostatečnou úroveň zabezpečení osobních údajů. Problematickým je zejména aspekt sdílení dokumentů, kdy tyto služby obvykle neumožní nastavit rozdílná práva pro různé uživatele (např. „pouze čtení dokumentů“), anebo zaznamenávat uživatelské logy (např. jaký uživatel získal přístup ke konkrétnímu dokumentu v data roomu).

Před samotným zřízením přístupu kupujícímu do data roomu je vhodné uzavřít skupujícím smlouvu (dohodu o mlčenlivosti), kterou budou dohodnuty podmínky ohledně zpřístupnění osobních údajů. V této smlouvě by měl být uveden titul a účel, pro který budou osobní údaje kupujícím využity, po- vinnost mlčenlivosti kupujícího a kupující by se měl zavázat zajistit likvidaci osobních údajů, pokud nedojde k úspěšnému dokončení transakce, povinnost k odškodnění v případě porušení pravidel GDPR atd. Má-li kupující sídlo mimo EU, pak se prodávající a kupovaná společnost nevyhnou posouzení, za jakých podmínek mohou takovému kupujícímu předat osobní údaje mimo EU.

Je také potřeba zvážit, jaké dokumenty obsahující osobní údaje mo- hou být kupujícímu a jeho poradcům v rámci due diligence poskytnuty. GDPR je totiž založeno na principu minimalizace nakládání s osobními údaji. Tato otázka typicky vyvstane u pracovních smluv a smluv se zákazníky z řad spotřebitelů. Řešením je anonymizace osobních údajů např. jejich začerněním, což může být časově náročné. Jako alternativu lze proto doporučit, aby v rámci due diligence byly zpřístupněny pouze vzorové smlouvy spolu se souhrnnými anonymizovanými přehledy. Zpřístupnění neanonymizovaných smluv lze akceptovat pouze v případě oprávněného zájmu kupujícího na tom, aby se podrobně seznámil se stavem kupované společnosti a s podmínkami těchto zásadních smluv, tj. po posouzení v rámci tzv. testu proporcionality. Citlivé údaje o zaměstnancích, jako je např. jejich zdravotní stav, členství v odborech apod., nelze kupujícímu poskytnout vůbec.

Na druhé straně musí mít kupující na zřeteli, že mu podle GDPR může vzniknout informační povinnost vůči zaměstnancům, klientům a případně dalším osobám, jakmile mu budou jejich osobní údaje v data roomu zpřístupněny. Kupující v takovém případě bude muset informovat tyto osoby, že zpracovává jejich osobní údaje a za jakým účelem. Jelikož obě strany při vyjednávání akvizice obvykle trvají na přísném dodržení povinnosti mlčenlivosti, měli by mít všichni zúčastnění zájem na tom, aby prostřednictvím data roomu bylo kupujícímu zpřístupněno minimum osobních údajů.

Postavení kupujícího při M&A transakci z hlediska GDPR

Informace v data roomu jsou pro kupujícího stěžejní, aby mohl s péčí řádného hospodáře posoudit, zda je pro něj výhodné akvizici kupované společnosti dokončit. Titulem pro zpracování osobních údajů v data roomu bude pro kupujícího obvykle smlouva uzavřená s kupovanou společností, příp. prodávajícím, anebo oprávněný zájem na tom, aby se seznámil se stavem společnosti a riziky, která pro něj z koupě společnosti plynou. Kupující musí mít na zřeteli, že okamžikem získání přístupu do data roomu se stane správcem osobních údajů umístěných v data roomu a bude povinen dodržovat povinnosti vyplývající pro něj z GDPR.

Kupující tak bude především povinen nastavit své interní procesy tak, aby zajistil, že žádná neoprávněná osoba nezíská přístup k osob- ním údajům v data roomu, dopředu určil omezený okruh uživatelů data roomu, přijal nezbytné zásady ochrany osobních údajů, učinil záznamy, jakým způsobem osobní údaje v data roomu zpracovává, a splnil další povinnosti stanovené GDPR. Pokud budou součástí data roomu i osobní údaje zaměstnanců a klientů kupované společnosti nebo dalších osob, může mít kupující vůči těmto osobám informační povinnost o tom, jakým způsobem zpracovává jejich osobní údaje.

Nakládá-li kupovaná společnost ve větším rozsahu s osobními údaji, nevyhne se kupující provedení právní prověrky se zvláštním zaměřením na zmapování procesů nakládání s osobními údaji v kupované společnosti. Může se totiž například ukázat, že kupovaná společnost nikdy od zákazníků neobdržela souhlas se zasílám emailových nabídek. Subjekty údajů také nemusely udělit kupované společnosti souhlas se zpracováním svých osobních údajů, a tak je kupovaná společnost povinna smazat celou svou zákaznickou databázi anebo nebude možné v důsledku absence souhlasu v rámci vypořádání transakce převést zákaznickou databázi.

GDPR a důsledky pro M&A transakce v České republice

Jak pro prodávajícího a kupovanou společnost, tak pro kupujícího přináší GDPR nové povinnosti, které je potřeba vzít v potaz již v rámci přípravné fáze každé transakce. Jedná se zejména o zajištění bezpečného data roomu pro zpřístupnění dokumentů kupujícímu a jeho poradcům, uzavření smluv s poskytovatelem data roomu a kupujícím a přípravě anonymizovaných dokumentů, příp. vzorových smluv, a anonymizovaných přehledů pro jejich sdílení s kupujícím a jeho poradci.

Zvýšenou pozornost je pak žádoucí věnovat zmapování procesů nakládání s osobními údaji v kupované společnosti, pokud je hodnota kupované společnosti odvislá od toho, jak využívá osobní údaje pro své podnikání. GDPR totiž obecně vylučuje převod osobních údajů bez souhlasu osob, které jsou zpracováním osobních údajů dotčeny. Nekonkrétní souhlas se zpřístupněním osobních údajů třetím osobám pak nelze považovat za řádný souhlas podle GDPR, a proto převod takových osobních údajů může být považován za neplatný.

 

Pro více informací nás kontaktujte:

JUDr. Mojmír Ježek, Ph.D.

ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00 Praha 1
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz

O ECOVIS ježek, advokátní kancelář s.r.o.:

Česká advokátní kancelář ECOVIS ježek se ve své praxi soustřeďuje především na obchodní právo, nemovitostní právo, vedení sporů, ale i financování a bankovní právo a poskytuje plnohodnotné poradenství ve všech oblastech, a tvoří tak alternativu pro klienty mezinárodních kanceláří. Mezinárodní rozměr poskytovaných služeb je zajištěn dosavadními zkušenostmi a prostřednictvím spolupráce s předními advokátními kancelářemi ve většině evropských zemí, USA a dalších jurisdikcích v rámci sítě ECOVIS působící v 75 zemích celého světa. Členové týmu advokátní kanceláře ECOVIS ježek mají dlouholeté zkušenosti z předních mezinárodních advokátních a daňových firem v poskytování právního poradenství nadnárodním korporacím, velkým českým společnostem, ale i středním firmám a individuálním klientům. Více informací na www.ecovislegal.cz.

Informace obsažené na této webové stránce jsou právnickou reklamou. Nepovažujte nic na této webové stránce za právní poradenství a nic na této webové stránce nepředstavuje vztah advokát-klient. Předtím, než začnete jednat o čemkoliv, o čem si na těchto stránkách přečtete, domluvte si právní konzultaci s námi. Dosavadní výsledky nejsou zárukou budoucích výsledků a předchozí výsledky neznamenají ani nepředpovídají budoucí výsledky. Každý případ je jiný a musí být posuzován podle vlastních okolností.

Comments are closed.