GDPR pomisleki pri skrbnem pregledu v okviru M&A aktivnosti

Leta 2018 – istega leta kot je začela veljati Splošna uredba o varstvu osebnih podatkov (GDPR: General Data Protection Regulation) – je bilo v Evropi zaključenih preko 16.000 transakcij združitev in prevzemov (M&A: Mergers & Acquisitions). Z uvedbo novih standardov glede uporabe osebnih podatkov in določitvijo visokih glob v primeru neizpolnjevanja zahtev, je GDPR postavila zasebnost v okviru skrbnih pregledov (DD: due diligence) v središče pozornosti potencialnih kupcev pri M&A poslih. Pojavlja se potreba po preučitvi vprašanja glede zasebnosti podatkov in povezave med potrebo po pregledu zasebnih podatkov v okviru skrbnega pregleda ciljne družbe ter izpolnjevanjem zahtev GDPR, ki predstavljajo del tega postopka.

Skrbni pregled zasebnosti:

Običajno potencialni kupec opravi skrbni pregled v fazi pogajanj, z namenom, da oceni vrednost tarče in tveganja, ki so povezana s transakcijo. Obseg skrbnega pregleda je odvisen od številnih dejavnikov, vključno z velikostjo transakcije, panogo in znanimi tveganji. Ravnanju tarče z osebnimi podatki in skladnosti tega ravnanja z veljavno zakonodajo potencialni kupci znotraj skrbnega pregleda od sprejema GDPR dalje namenjajo vedno več pozornosti. Kupec se mora v okviru skrbnega pregleda pozanimati o praksah tarče v zvezi z obdelavo osebnih podatkov zaposlenih, potrošnikov in tretjih oseb. Področja, do katerih bo potencialni kupec želel imeti dostop v okviru DD, lahko vključujejo:

• vrsto in obseg osebnih podatkov, ki se obdelujejo, in podatek o tem ali vključujejo katerokoli posebno kategorijo ali občutljive podatke,
  
• življenjski cikel uporabe osebnih podatkov tarče - kako podjetje zbira, uporablja, deli, shranjuje in briše osebne podatke,
  
• zakonite podlage, na katere se tarča opira pri obdelavi osebnih podatkov, in z njimi povezane dokumente - npr. tarča mora potrditi, da je opravila in dokumentirala »oceno zakonitih interesov« (LIA: legitimate interests assessment),
  
• ali se tarča identificira kot obdelovalec podatkov v zvezi z osebnimi podatki, ki jih obdeluje, in če je tako, kakšne so pogodbene ureditve z ustreznimi upravljavci podatkov,
  
• informacije o varnostnih ukrepih tarče in ali je prišlo do kakršnihkoli incidentov s področja kibernetske varnosti ali kršitev podatkov, ki so razkrile kakršnekoli osebne podatke, vključno s kršitvami, za katere je bilo treba obvestiti lokalni organ za varstvo podatkov (DPA: data protection authority) ali prizadete posameznike,
  
• informacije o vseh osebnih podatkih, ki se prenašajo izven Evropskega gospodarskega prostora, in podlago, na kateri se prenos izvaja (npr. standardne pogodbene klavzule Evropske komisije),
  
• kako tarča obravnava zahteve posameznikov, na katere se nanašajo osebni podatki (DSRs: data subject requests) in obseg prejetih zahtev,
  
• informacije o vseh pritožbah, zahtevkih ali preiskavah v zvezi z osebnimi podatki in
  
• potrditev, da cilj izpolnjuje zahteve GDPR glede odgovornosti in obveščanja ter da ima na razpolago potrebno dokumentacijo (npr. evidence o obdelavi, obvestila o zasebnosti spletnega mesta in zaposlenih, dokazila o soglasjih, ocene vpliva na zasebnost, politike zasebnosti osebja in postopki obveščanja o kršitvah).
  

Če se zdi zgornji seznam zastrašujoč, zlasti za transakcije manjšega obsega, rešitev za potencialnega kupca, ki želi pridobiti te podatke, predstavlja uporaba vprašalnika. Odgovori prodajalca lahko kupca nato usmerijo na področja, ki zahtevajo večji nadzor (npr. če je tarča obvestila DPA o več kršitvah osebnih podatkov, bi potencialni kupec želel razumeti, ali so te kršitve nastale na osnovi varnostnih pomanjkljivosti in ali je sledila primerna sanacija). Potencialni kupec lahko zahteva povzetke in dokumente, ki se nanašajo na tveganja, ugotovljena tekom skrbnega pregleda zasebnosti, to gradivo pa lahko zlahka vsebuje osebne podatke, npr. imena zaposlenih v tarči in posameznikov, ki so predložili DSR.

Razmisleki o operativni zasebnosti za postopek skrbnega pregleda na splošno:

Vsak postopek skrbnega pregleda bo skoraj vedno vključeval prodajalčevo zagotavljanje povzetkov in dokumentov, ki vsebujejo osebne podatke (npr. pogodbe strank in dobaviteljev/ podrobnosti o zaposlenih in izvajalcih, njihove plače in pogodbe/ razkritje pritožb, zahtevkov in preiskav).

Potencialni kupec pogosto sodeluje s svojimi zunanjimi pravnimi in strokovnimi svetovalci, ki pregledajo informacije, najdene tekom skrbnega pregleda. Prodajalec lahko informacije in dokumente da na razpolago potencialnemu kupcu in njegovim svetovalcem neposredno ali preko dejanske ali »virtualne« podatkovne sobe. Prejemniki informacij imajo obveznosti iz naslova zagotavljanja poklicne in pogodbene zaupnosti, od katerih pa nobena ne izpolnjuje zahtev GDPR glede uporabe in obdelave osebnih podatkov posameznikov.

Določitev vlog upravljavca/ obdelovalca podatkov in posameznika, na katerega se nanašajo osebni podatki, v skladu z GDPR:

Pri ogledu predlagane transakcije skozi objektiv zasebnosti je lahko koristno, če začnemo s kategorizacijo igralcev.

1. Posamezniki, na katere se nanašajo osebni podatki: posamezniki, katerih osebni podatki so v dokumentih skrbnega pregleda (npr. uslužbenci tarče in imena posameznikov, ki so podpisali pogodbe v imenu strank tarče).
   
2. Upravljavci podatkov: prodajalec, potencialni kupec in poklicni svetovalci potencialnega kupca so razvrščeni kot ločeni upravljavci podatkov v zvezi z osebnimi podatki, vsebovanimi v dokumentih skrbnega pregleda, ker vsak od njih sam določi sredstva in namen obdelave osebnih podatkov.
   
3. Obdelovalec podatkov: ponudnik virtualne podatkovne sobe - razlog za to je, da osebne podatke obdeluje po navodilih prodajalca, tako da jih da na voljo v virtualni podatkovni sobi in osebnih podatkov ne sme uporabljati za noben drug namen.
   

Pojasniti velja, da so tudi osebni podatki, ki jih je mogoče zlahka pridobiti iz javnih virov in imenikov, (npr. imena podpisnikov pogodb na strani strank tarče), še vedno za namene GDPR opredeljeni kot osebni podatki. Dejansko je opredelitev osebnih podatkov dovolj široka, da vključuje vse informacije, ki identificirajo ali bi lahko identificirale živega posameznika.

Osebni podatki, ki jih vsebujejo dokumenti skrbnega pregleda, izvirajo od prodajalca. Te podatke je prodajalec zbral od različnih posameznikov, na katere se nanašajo osebni podatki, kasneje pa jih prodajalec za namene transakcije posreduje svojemu obdelovalcu podatkov (ponudniku virtualne podatkovne sobe) in drugim upravljavcem podatkov. Preden se to zgodi, je za prodajalca priporočljivo, da izvede oceno učinkov v zvezi z varstvom osebnih podatkov (DPIA: Data Protection Impact Assessment). 

Zasebnost pri zasnovi in ​​izvedba DPIA:

Načelo zasebnosti pri zasnovi, ki od upravljavca zahteva vnaprejšnji premislek o varstvu podatkov in zasebnosti pri vseh njegovih aktivnostih, izvira že iz časa pred uveljavitvijo GDPR, danes pa ima zakonsko moč, saj morajo podjetja na podlagi 25. člena GDPR izvajati ukrepe za vgrajeno in privzeto varstvo podatkov. Izvedba DPIA omogoča prodajalcu, da oceni tveganja za zasebnost, ki bi lahko izhajala iz dostopa do dokumentov skrbnega pregleda, ter da sprejme in izvede ukrepe, s katerimi lahko zmanjša ta tveganja. Primeri tveganj za zasebnost, ki jih je mogoče prepoznati, vključujejo:

• finančne informacije zaposlenih, ki se nenamerno razkrijejo nepooblaščenim tretjim osebam ali objavijo; ali
  
• kraja poverilnic, ki tretji osebi omogoča dostop do virtualne podatkovne sobe in posledično do vseh osebnih podatkov.
  

Načini kako lahko prodajalec ublaži ta tveganja, preden tretje osebe dobijo dostop do teh podatkov, so naslednji:

1. Minimizacija podatkov: v skladu s tem načelom prodajalec razkrije le osebne podatke, ki so potrebni za skrbni pregled. To lahko nadgradi z anonimizacijo in psevdonimizacijo. Prodajalec lahko npr. imena podpisnikov pogodb na strani strank in dobaviteljev nadomesti s podatki o korporaciji (anonimizacija), v primeru seznama zaposlenih pa lahko ime zaposlenega nadomesti z nazivom delovnega mesta ter plačo (psevdonimizacija). 
   
2. Omejitve in nadzor dostopa: prodajalec omeji dostop do dokumentov skrbnega pregleda na tiste posameznike, ki so sodelovali v prodajnem postopku, in zagotovi, da je enak tehnični nadzor dostopa uporabljen v katerikoli virtualni podatkovni sobi. Poleg tega mora biti prodajalec seznanjen z možnimi varnostnimi kontrolami, ki so uporabljive v virtualni podatkovni sobi, npr. dnevniki, ki prikazujejo dokumente, do katerih je dostopal vsak pooblaščen uporabnik, in omejitve tiskanja, prenosa ali skupne rabe.
   
3. Pogodbe za obdelavo podatkov: prodajalec skrbno pregleda ponudnika podatkovne sobe (ker GDPR zahteva, da upravljavci podatkov to storijo za kateregakoli obdelovalca podatkov, ki bo v njihovem imenu obdeloval osebne podatke), z namenom da zagotovi, da je platforma virtualne podatkovne sobe zaščitena z ustreznim varnostnim nadzorom, da pogodba s ponudnikom podatkovne sobe vsebuje predpisane določbe GDPR o upravljavcu/ obdelovalcu podatkov in druge pogodbene zaščitne klavzule v korist prodajalca, ki v primeru večjih kršitev odgovornost usmerijo k obdelovalcu podatkov.
   
4. Pogodbe o izmenjavi podatkov: prodajalec lahko sklene pogodbe o izmenjavi podatkov z drugimi upravljavci podatkov, ki bodo prejemali osebne podatke – z bodočim kupcem in njegovimi svetovalci, razen če sporazumi o nerazkritju informaciji že vključujejo določbe o izmenjavi osebnih podatkov.
   

Zakonita podlaga za obdelavo osebnih podatkov za namene skrbnega pregleda:

Izvedba DPIA prodajalcu pomaga pri identifikaciji in ublažitvi tveganj glede zasebnosti, povezanih z dokumenti skrbnega pregleda. Vendar je malo verjetno, da sprejeti zaščitni ukrepi rezultirajo v popolni izključitvi možnosti obdelave osebnih podatkov. Te možnosti izvirajo iz široke opredelitve osebnih podatkov in psevdonimizacije, s katero prodajalec imena zaposlenih nadomesti z nazivom njihovega delovnega mesta, to pa samo po sebi ne izključi možnosti za njihovo identifikacijo.

Ob predpostavki, da prodajalec osebne podatke obdeluje zaradi skrbnega pregleda, bo morala obstajati zakonita podlaga za to obdelavo. V tem okviru se zdi, da 6(f). člen GDPR predstavlja edini način, na katerega se prodajalec lahko verodostojno zanese, da bo njegovo obdelovanje podatkov zakonito - obdelava mora biti potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov.

Upravičeni interes upravljavca podatkov je v tem primeru izvedba postopka skrbnega pregleda, da se podjetje pripravi na prodajo. Zakonita obdelava podatkov na podlagi upravičenega interesa upravljavca mora temeljiti na tehtanju med interesom upravljavca podatkov in interesi prizadetih posameznikov, prodajalčeva izpolnitev LIA pa bo pokazala, da je upošteval te zahteve.

Prav tako bodo morali tudi drugi upravljavci podatkov (bodoči kupec in njegovi svetovalci) iti skozi isti postopek, tako da bodo vzpostavili svoje zakonite podlage za obdelavo osebnih podatkov in ob predpostavki, da gre za upravičene interese, dokumentirali LIA.

Zahteva po obvestilu:

Izpolnjevanje zahteve po zakoniti podlagi ne odpravlja potrebe po spoštovanju načela preglednosti v skladu z GDPR.

Preprosto povedano, upravljavci podatkov morajo posameznikom, katerih osebni podatki se obdelujejo, zagotoviti informacije o obdelavi. 13. člen GDPR določa informacije, ki jih je treba posredovati, kadar so osebni podatki pridobljeni od posameznika, na katerega se nanašajo. V 14. členu GDPR pa so navedene informacije, ki jih je treba zagotoviti posameznikom, kadar njihovi osebni podatki niso bili pridobljeni od njih samih. Kako pa to deluje v kontekstu osebnih podatkov, ki so vsebovani v dokumentih skrbnega pregleda pri M&A transakcijah?

Če začnemo s prodajalcem, je zelo verjetno, da je informacije pridobil od posameznikov samih, zato zanj veljajo zahteve iz 13. člena GDPR. Če je prodajalec zaposlenim, kupcem ter dobaviteljem že poslal obvestila o zasebnosti, potem lahko ta že vključujejo določbo, ki posameznike opozarja, da se njihovi osebni podatki lahko obdelujejo in delijo s tretjimi osebami za namene korporacijske odsvojitve ali prodaje podjetja. Če v praksi obvestila o zasebnosti te določbe ne vsebujejo in prodajalec po sprejemu odločitve o prodaji podjetja pošlje nova obvestila o tem novem namenu obdelovanja podatkov, lahko slednja opozorijo vse naslovnike na potencialno prodajo podjetja. Prodajalec mora zato narediti tehtni premislek o vsebini in časovni razporeditvi teh obvestil. 

Za potencialnega kupca in njegove svetovalce pa pride v poštev 14. člen GDPR. Tu nastopi problem, saj bi kupec z izpolnitvijo zahteve po obvestilu prizadetih posameznikov kršil svojo pogodbeno in poklicno obveznost o ohranitvi zaupnosti transakcije. 14 (5). člen GDPR določa izjeme od obveznosti obvestitve posameznikov, eno izmed njih pa predstavlja tudi situacija, ko bi obvestilo posameznikov onemogočilo ali resno oviralo uresničevanje obdelave podatkov – v takih primerih upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

14 (5). člen GDPR določa tudi, da se zahteva po informiranju ne uporablja, kadar morajo osebni podatki ostati zaupni na podlagi zakonske obveznosti varovanja poslovne skrivnosti. Zdi se torej, da bi se prejemniki teh podatkov pri njihovem upravljanju lahko zanašali na to izjemo in se s tem izognili dolžnosti obveščanja, ki bi sicer nastala na podlagi 14. člena GDPR. Če predpostavimo, da obstaja zakonita podlaga za obdelavo, morajo upravljavci podatkov pri zanašanju na to izjemo dokazati, da bi zagotavljanje informacij izničilo cilje obdelave. Primer take izjeme predstavljajo bančni postopki glede preprečevanja pranja denarja, ki po svoji naravi ne sprožijo zahteve iz 14. člena GDPR po notifikaciji.

Zanašanje upravljavca podatkov na katerokoli izjemo po 14. členu GDPR je treba dokumentirati.

Zaključek:

GDPR je pomembno vplival na skrbni pregled v okviru združitev in prevzemov. Ključni akterji bodo morali pri izvajanju skrbnega pregleda upoštevati tveganja glede zasebnosti, ki so povezana s poslovanjem tarče, prav tako pa tudi z njihovimi lastnimi praksami.

Ana Novinec