21.11.2018
ID: 4296upozornenie pre užívateľov

Implikácie GDPR na právny audit pri M&A transakciách

Transakcie spočívajúce vo fúzii alebo akvizícii podnikov, častí podnikov alebo obchodných spoločností (tzv. „targetov“) sú časté a spôsobujú ich najmä racionalizácia podnikania alebo investičné záujmy iných subjektov. Zatiaľ čo úspešné vyjednávanie prináša obchodným stranám jasný výsledok, proces spočívajúci v právnom audite (po anglicky „due diligence“) targetu transakcie je však často časovo a finančne náročný.


 
 Hamala Kluch Viglasky
Oblasť ochrany osobných údajov nebola (doposiaľ) pri právnom audite až taká dôležitá ako iné aspekty podnikania targetu, ktoré boli určujúce pre stanovenie zaujímavosti targetu a celkovej ceny transakcie. Vo väčšine prípadov postačovalo poskytnutie záruk a náhrady škody v prípade, že by dodatočne vyšlo najavo pochybenie v tejto oblasti.

Ochrana osobných údajov získala na pozornosti a „vážnosti“ účinnosťou GDPR[1] a nového zákona o ochrane osobných údajov[2] ku dňu 25. mája 2018. Porušenie povinností vyplývajúcich z GDPR bude príslušný orgán dozoru nad ochranou osobných údajov (Úrad na ochranu osobných údajov Slovenskej republiky, ďalej ako „Úrad“) oprávnený uložiť pokutu až do výšky 20 miliónov EUR alebo do výšky 4% z celosvetového obratu, a to podľa toho, ktorá z týchto horných hraníc bude vyššia (pôvodne pokuta mohla byť maximálne do výšky 200.000 EUR).

Dodržiavanie ochrany osobných údajov targetu nebude zaujímať len Úrad, ale pozor si budú dávať aj potenciálny kupujúci pri M&A transakciách. Náklady pre neho môžu spočívať tak v uložených pokutách, ako aj v opatreniach, ktoré bude musieť prijať, aby zosúladil s GDPR spracúvanie osobných údajov v targete. Z pohľadu právneho auditu existujú mnohé aspekty, ktoré je nevyhnutné zvážiť pred a počas tohto procesu. Vzhľadom na prísnejšiu právnu úpravu, je potrebné celý proces právneho auditu a transakcie vopred primerane premyslieť.

Virtuálny data room
 
Je už bežnou praxou, že dokumenty týkajúce sa targetu sú sprístupnené prostredníctvom virtuálneho data roomu, úložiska na internete umožňujúceho prístup k dokumentom viacerým užívateľom v tom istom čase.

Data roomy pri väčších a medzinárodných transakciách sú už zriedka zabezpečované samotnými predávajúcimi. Vo väčšine prípadov ich zriadenie a správu zverí predávajúci externému poskytovateľovi cloudových služieb. Takýchto poskytovateľov je na trhu pomerne dosť, pričom aj poskytované riešenia prinášajú rôznu úroveň profesionality v oblasti ochrany osobných údajov. Oproti pôvodnej právnej úprave, GDPR prinieslo dodatočné náležitosti pre tieto zmluvy, preto je vhodné skontrolovať, či predmetná zmluva obsahuje tieto náležitosti. Ak by tomu tak nebolo, je potrebné tieto zmluvy primerane upraviť.

Ak sú osobné údaje prenášané, ukladané alebo sprístupnené v rámci územia Európskej únie (ďalej len ako „“) (alebo Európskeho hospodárskeho priestoru), nie sú potrebné ďalšie výraznejšie kroky. Ak sa však nachádzajú servery poskytovateľa cloudových služieb mimo územia EÚ (alebo Európskeho hospodárskeho priestoru), je to v poriadku, iba ak takáto krajina zaručuje primeranú úroveň ochrany údajov.[3]

Dohoda o mlčanlivosti

Pri procese právneho auditu by mal Predávajúci vyžadovať od všetkých potenciálnych kupujúcich uzatvorenie dohody o mlčanlivosti pred sprístupnením akýchkoľvek dôverných informácií, vrátane osobných údajov, v data roome alebo iným spôsobom.

V prípade, ak by bol kupujúci so sídlom mimo územia EÚ, popri dohode o mlčanlivosti by mala byť uzatvorená medzi predávajúcim a kupujúcim štandardná zmluvná doložka o ochrane údajov prijatá Komisiou (resp. iné riešenia uvedené v časti o virtuálnom data roome vyššie).

Rozsah sprístupňovaných údajov
 
Informácie, vrátane osobných údajov, ktoré sú poskytované predávajúcim, by mali spĺňať test proporcionality, ktorý spočíva v balansovaní oprávneného záujmu predávajúceho na sprístupňovaní údajov za účelom predaja targetu a práv alebo záujmov dotknutých osôb. Ak oprávnený záujem preváži nad právami a záujmami dotknutých osôb, sprístupnenie osobných údajov je zákonné. Osobné údaje však majú byť sprístupnené iba v rozsahu nevyhnutnom oprávnenému záujmu, aby bola dodržaná zásada minimalizácie.

Bežnou praxou v právnych auditoch sa stala anonymizácia alebo pseudonymizácia osobných údajov. Anonymizácia znamená prekrytie (začiernenie) údajov ako sú mená, adresy, podpisy, dátumy narodení, ďalších možných identifikátorov, a to spôsobom, ktorý znemožňuje technické odstránenie anonymizácie. Profesionálne data room aplikácie už umožňujú jednoduché zakrytie týchto údajov pred samotným uložením dokumentov do data roomu. Pseudonymizácia znamená spôsob spracúvania, kedy nie je možné priradiť tieto údaje ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ktoré sú uchovávané oddelene a nie sú sprístupnené – či už je to použitím pseudonymov alebo iných generických údajov nahrádzajúcich osobné údaje.

Sprístupnenie zmlúv s vrcholovými manažérmi, s vedúcimi zamestnancami a zmlúv o výkone funkcie štatutárnych orgánov targetu by za primeraných okolností malo prejsť testom proporcionality aj bez pseudonymizácie alebo anonymizácie – oprávnený záujem kupujúceho by mal prevážiť nad právami a záujmami dotknutých osôb. V prípade pracovných zmlúv s ostatnými zamestnancami by mohlo postačovať uverejnenie vzorových zmlúv, na základe ktorých by mal kupujúci vedieť zhodnotiť stav, napr. z pohľadu platov na rôznych pozíciách alebo poskytovaných výhod zamestnancom. K sprístupneniu pracovných zmlúv s ostatnými zamestnancami bez anonymizácie je možné v neskoršej fáze, a ak je to nevyhnutné, prípadne poskytnúť menný zoznam zamestnancov.

Ďalšou praxou a možnosťou je poskytnutie sumárov zmlúv a iných dokumentov. Takýto postup je vhodný najmä v prvotných fázach právneho auditu.

Zmiernenie rizík
 
Vzhľadom na nové pokuty v prípade porušenia ochrany osobných údajov targetom a vzhľadom na oprávnenie Úradu kontrolovať spracúvania osobných údajov spätne päť rokov, je potrebné venovať pozornosť pretrvávajúcim rizikám pre kupujúceho.

Je odporúčané, aby predávajúci vykonal svoj vlastný interný audit spracúvania osobných údajov pred pristúpením k transakcii, čím môže predísť potenciálnym transakčným rizikám, ktoré môžu byť identifikované počas právneho auditu kupujúcimi. Takýmto postupom sa môže zjednodušiť a urýchliť samotný proces právneho auditu, transakcie a finalizácie transakčnej dokumentácie a zároveň môže predávajúci minimalizovať svoju zodpovednosť do budúcna po realizácii transakcie (najmä z porušenia vyhlásení a ubezpečení v transakčných dokumentoch).

Kupujúci bude od predávajúceho štandardne požadovať, aby riziko bolo prenesené na predávajúceho, a to v rámci transakčných dokumentov prostredníctvom záruk (vyhlásenia a ubezpečenia). Ak v rámci právneho auditu budú zistené konkrétne identifikované riziká, kupujúci bude štandardne trvať na tom (odkladacej podmienke - condition precedent), aby identifikované nedostatky boli napravené pred uzatvorením zmluvy (closing/completion), a/alebo získať kompenzáciu od predávajúceho v rámci ceny samotnej transakcie.

Na zváženie je aj možnosť poistenia zodpovednosti porušenia ochrany osobných údajov v targete. Poistenie resp. vyplatenie poistnej sumy ale nezbavujú strany zodpovednosti za samotné porušenie, len je formou kompenzácie v prípade pokút za porušenie ochrany osobných údajov Úradom.

Fáza po uzatvorení transakčnej dokumentácie

Kupujúci by mal zvažovať fázu po uzatvorení transakčnej dokumentácie ešte počas právneho auditu. Informačné systémy targetu môže kupujúci zlúčiť s jeho existujúcimi informačnými systémami, alebo si ich môže ponechať osobitne. Mal by zvážiť, či bude potrebný prenos osobných údajov v rámci jeho štruktúry alebo jeho skupiny, resp. či bude potrebný prenos tretím stranám. Osobitnú pozornosť by mal venovať tomu, či dôjde k prenosu mimo územia EÚ.

Štandardne bude kupujúci, ako nový vlastník targetu, postupne implementovať svoje zaužívané opatrenia na ochranu osobných údajov za účelom zosúladenia týchto opatrení v rámci svojej skupiny, a to aj s cieľom zjednodušiť sledovanie plnenia povinností a zodpovedností, ktoré mu z GDPR vyplývajú.

Na záver

Dopad GDPR a celkovú osvetu v tejto oblasti vnímame aj u našich klientov pri M&A transakciách – tak ako kedysi bola oblasť ochrany osobných údajov pre klientov iba akási „povinná jazda“ a nezrozumiteľná oblasť, pri aktuálnych transakciách vidíme, že klienti sa o túto oblasť intenzívne zaujímajú aj pri výsledkoch právneho auditu a aj pri negociácií transakčných dokumentov. Tento zvýšený záujem klientov o osobné údaje hodnotíme pozitívne a sme radi, že im môžeme pomáhať pri správnom nastavení transakcií a následnom plnení povinností v oblasti ochrany osobných údajov.

Mgr. Lukáš Michálik, LL.M.,
Mgr. Lukáš Michálik, LL.M.,
Partner

Mgr. Marek Follrich, LL.M.,
Mgr. Marek Follrich, LL.M.,
Associate

 

Poštová 3, 
811 06 Bratislava

Tel.:     +421 2 5441 0160
e-mail:  office@hkv.sk

PFR SK 2018
______________________
[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (označované a známe ako „GDPR“ z anglického názvu General Data Protection Regulation). Aktuálne znenie je dostupné na portáli EUR-Lex k dispozici >>> zde
[2] Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Aktuálne znenie je dostupné na portáli Slov-lex k dispozici >>> zde
[3] Primeraná úroveň je preukázaná, ak Európska komisia rozhodla o tom, že tretia krajina alebo jej územie zaručuje primeranú úroveň ochrany osobných údajov (ku dňu 28.9.2018 ide o krajiny ako napr. Izrael, Nový Zéland, Kanada, Švajčiarsko; Spojené štáty americké len v prípade spoločností certifikovaných v režime Privacy Shield (Štítu na ochranu osobných údajov)). Prenos do iných krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov, je možný v prípade dodatočných primeraných záruk, ktoré môžu, okrem iného, spočívať v uplatnení záväzných vnútropodnikových pravidiel, uzatvorením štandardných zmluvných doložiek o ochrane údajov prijatých Komisiou, štandardných doložiek o ochrane údajov prijatých Úradom, alebo zmluvných doložiek povolených Úradom.


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk