Základy GDPR pro prodávajícího, kupujícího a cílovou společnost v rámci due diligence a M&A transakce
Nařízení Evropské unie o ochraně osobních údajů – GDPR, platné na území celé EU od 25. května 2018, nedopadá pouze na každodenní fungování společností a jejich marketingových oddělení, ale jak se ukazuje, má zásadní vliv i na oblast M&A transakcí. Každá společnost totiž zpracovává osobní údaje, ať už svých zaměstnanců, zákazníků nebo obchodních partnerů, a dále tyto údaje využívá například k zasílání speciálních nabídek na emailové adresy nebo k vytváření rozsáhlé zákaznické databáze a profilování zákazníků. Tyto údaje jsou navíc často sdíleny mezi několika společnostmi v rámci koncernu.
Povinnosti stanovené nově GDPR proto nutí všechny strany zúčastněné na akviziční transakci, aby přehodnotily své dosavadní postupy a přijaly nová opatření za účelem ochrany osobních údajů. Jedná se přitom především o osobní údaje, které jsou kupujícímu a jeho poradcům zpřístupněny v rámci právní due diligence kupované společnosti. Kupující se totiž v takovém případě stane správcem osobních údajů, jakmile získá přístup do data roomu, kde se tyto údaje nacházejí.
Ochraně osobních údajů by však měl věnovat pozornost i prodávající a kupovaná společnost. Právě tyto osoby musí zajistit, že osobní údaje budou zpřístupněny v souladu s GDPR, pouze v nezbytně nutném rozsahu pro dokončení transakce a výlučně oprávněným osobám. Osobní údaje musí být dále dostatečně chráněny před neoprávněným nakládáním a v případě neúspěšné akvizice zajištěna jejich prokazatelná likvidace.
Pokud by kterákoli zúčastněná strana porušila povinnosti vyplývající pro ni z GDPR, hrozí jí uložení pokuty až do výše 20 mil EUR, nebo, jedná-li se o podnik, až do výše 4% celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toto, co je vyšší.
Vstupem GDPR v účinnost je proto potřeba přehodnotit celý akviziční proces, zejména ve vztahu k prověrce společnosti a zřízení data roomu, a nastavit nová pravidla ochrany osobních údajů, které budou v souladu s GDPR.
Postavení prodávajícího při M&A transakci z hlediska GDPR
Prodávající by již v rámci přípravné fáze prodeje společnosti měl dopředu zajistit zabezpečený způsob, jakým budou kupujícímu zpřístupňovány dokumenty ohledně kupované společnosti pro účely provedení právní nebo jiné prověrky. Takovým způsobem bude ve většině případů příprava data roomu. Data room by měl být dostatečně zabezpečen před neoprávněným nakládáním s osobními údaji a jejich možným únikem tak, aby vyhovoval požadavkům GDRP. Bude se především jednat o šifrování uložených dokumentů, nastavení přístupových práv pro jednotlivé uživatele, uživatelské logy a pravidelný audit bezpečnosti IT systému tvořícího data room.
Pokud se prodávající rozhodne využít služeb externího poskytovatele, bude třeba s takovým poskytovatelem nejdříve uzavřít smlouvu o zpracování osobních údajů. Poskytovatel data roomu se totiž stane zpracovatelem osobních údajů. Smlouvu o zpracování osobních údajů by měla s poskytovatelem uzavřít kupovaná společnost, protože ta bude ve většině případů správcem osobních údajů v data roomu.
Ve smlouvě o zpracování osobních údajů bude nezbytné upravit zejména rozsah osobních údajů zpřístupněných prostřednictvím data roomu a sjednat záruky ohledně jejich ochrany, včetně jejich likvidace (výmazu ze serveru) po uzavření data roomu. Nelze opomenout ani otázku, v jaké zemi se budou nacházet servery externího poskytovatele, na kterých budou dokumenty pro právní prověrku uloženy. Pokud by se tyto servery nacházely mimo území EU, musí externí poskytovatel poskytnout záruky, že osobní údaje budou předávány do třetí země výhradně v souladu s GDPR (obvykle na základě závazných podnikových pravidel nebo standardních smluvních doložek). Externí poskytovatel musí být dále vázán povinností mlčenlivosti. Uzavřením smlouvy o zpracování osobních údajů se však prodávající ani kupovaná společnost zcela nezbaví své odpovědnosti za ochranu osobních údajů uložených v data roomu externího poskytovatele. Je proto žádoucí, aby se poskytovatel data roomu rovněž zavázal odškodnit prodávajícího a kupovanou společnost v případě, porušení smlouvy o zpracování osobních údajů.
Mnohé společnosti zpřístupňují osobní údaje pro potřeby due diligence prostřednictvím běžně užívaných cloudových uložišť, jakými jsou například Dropbox, iCloud, Google Drive, OneDrive anebo uloz.to. Takový postup ovšem nelze ve světle GDPR doporučit. Tyto služby totiž ve většině případů neumožňují nastavit dostatečnou úroveň zabezpečení osobních údajů. Problematickým je zejména aspekt sdílení dokumentů, kdy tyto služby obvykle neumožní nastavit rozdílná práva pro různé uživatele (např. „pouze čtení dokumentů“), vzdáleně vymazat dokumenty ze zařízení uživatele anebo zaznamenávat uživatelské logy (např. jaký uživatel získal přístup ke konkrétnímu dokumentu v data roomu).
Před samotným zřízením přístupu kupujícímu do data roomu je vhodné uzavřít s kupujícím smlouvu, kterou budou dohodnuty podmínky ohledně zpřístupnění osobních údajů, včetně jejich ochrany v průběhu prověrky kupované společnosti, a jejich následné likvidace, dále ve které bude uveden titul a účel, pro který budou osobní údaje kupujícím využity, a dále ve které bude sjednána povinnost mlčenlivosti kupujícího. Podmínky ochrany osobních údajů je možné vtělit i do dohody o mlčenlivosti, která se při M&A transakcích běžně uzavírá, a vyhnout se tak nutnosti podpisu dvou samostatných smluv. V této smlouvě by se kupující měl zavázat k ochraně osobních údajů před jejich neoprávněným zpřístupněním třetí osobě, měli by v ní být vyjmenováni poradci, kteří budou mít přístup do data roomu, a kupující by měl zajistit likvidaci osobních údajů, pokud nedojde k úspěšnému dokončení transakce. Pokud by došlo k porušení smlouvy ze strany kupujícího, měl by mít kupující povinnost odškodnit prodávajícího a kupovanou společnost za veškerou újmu, která jim v souvislosti s takovým porušení vznikla. Má-li kupující sídlo mimo EU, pak se prodávající a kupovaná společnost nevyhnou posouzení, za jakých podmínek mohou takovému kupujícímu předat osobní údaje mimo EU.
Je potřeba dále zvážit, jaké dokumenty obsahující osobní údaje mohou být kupujícímu a jeho proradcům v rámci due diligence poskytnuty. GDPR je totiž založeno na principu minimalizace nakládání s osobními údaji. Tato otázka typicky vyvstane u pracovních smluv a smluv se zákazníky z řad spotřebitelů.
Pokud prodávající anebo kupovaná společnost v nezbytném rozsahu neanonymizuje osobní údaje ve smlouvách a dalších dokumentech vložených do data roomu, např. jejich začerněním, vystavují se riziku uložení pokuty ze strany Úřadu pro ochranu osobních údajů. Redakční úprava desítek nebo stovek pracovních smluv a klientských smluv může být časově náročná a poměrně nákladná. Jako alternativu lze proto doporučit, aby v rámci due diligence byly zpřístupněny pouze vzorové smlouvy, které jsou kupovanou společností uzavírány, spolu se souhrnnými anonymizovaný tabulkami, jež budou obsahovat zásadní obchodní informace pro kupujícího (např. mzda, odstupné, konkurenční doložka, výpovědní doba apod.) anebo odchylky od vzorové smlouvy.
Lze uvažovat o tom, že by v rámci due diligence byly kupujícímu a jeho poradcům poskytnuty smlouvy s klíčovými zaměstnanci anebo klienty v celém znění, a to na základě oprávněného zájmu kupujícího na tom, aby se podrobně seznámil se stavem kupované společnosti a s podmínkami těchto zásadních smluv. Zpřístupnění takových smluv je ovšem třeba posuzovat ad hoc při zohlednění oprávněného zájmu kupujícího, nezbytnosti zpřístupnění osobních údajů kupujícímu a tzv. testu proporcionality.
Na druhé straně musí mít kupující na zřeteli, že mu podle GDPR může vzniknout informační povinnost vůči zaměstnancům, klientům a případně dalším osobám, jakmile mu budou jejich osobní údaje v data roomu zpřístupněny. Kupující v takovém případě bude muset informovat tyto osoby, že zpracovává jejich osobní údaje a za jakým účelem. Jelikož obě strany při vyjednávání akvizice obvykle trvají na přísném dodržení povinnosti mlčenlivosti, měli by mít všichni zúčastnění zájem na tom, aby prostřednictvím data roomu bylo kupujícímu zpřístupněno minimum osobních údajů.
Citlivé údaje o zaměstnancích, jako je např. jejich zdravotní stav, členství v odborech apod., nelze kupujícímu poskytnout vůbec.
Nedojde-li k úspěšnému dokončení transakce, budou mít prodávající anebo kupovaná společnost povinnost zajistit uzavření data roomu a likvidaci všech osobních údajů, ke kterým kupující a jeho poradci získali přístup. Na tuto povinnost by prodávající a kupovaná společnost měli pamatovat již před zřízením přístupu do data roomu.
Postavení kupujícího při M&A transakci z hlediska GDPR
Informace v data roomu jsou pro kupujícího stěžejní, aby mohl s péčí řádného hospodáře posoudit, zda je pro něj výhodné akvizici kupované společnosti dokončit. Titulem pro zpracování osobních údajů v data roomu bude pro kupujícího obvykle smlouva uzavřená s kupovanou společnosti, příp. prodávajícím, anebo oprávněný zájem na tom, aby se kupující seznámil se stavem společnosti a riziky, která pro něj z koupě společnosti plynou. Kupující musí mít na zřeteli, že okamžikem získání přístupu do data roomu se stane správcem osobních údajů umístěných v data roomu a bude povinen dodržovat povinnosti vyplývající pro něj z GDPR.
Kupující tak bude především povinen nastavit své interní procesy tak, aby zajistil, že žádná neoprávněná osoba nezíská přístup k osobním údajům v data roomu, dopředu určil omezený okruh uživatelů data roomu, přijal nezbytné zásady ochrany osobních údajů, učinil záznamy, jakým způsobem osobní údaje v data roomu zpracovává, a splnil další povinnosti stanovené GDPR.
Pokud budou součástí data roomu i osobní údaje zaměstnanců a klientů kupované společnosti nebo dalších osob, může mít kupující vůči těmto osobám informační povinnost o tom, jakým způsobem zpracovává jejich osobní údaje. Lze proto doporučit, aby zejména pracovní a klientské smlouvy byly anonymizovány. Nebyla-li by anonymizace pracovních a klientských smluv možná, lze doporučit, aby kupujícímu byla poskytnuta vzorová pracovní smlouva nebo vzorová klientská smlouvu spolu se souhrnnými anonymizovanými údaji o klíčových obchodních aspektech uzavřených smluv.
Výše uvedené požadavky ovšem kladou zvýšené nároky na obsah transakční dokumentace. Kupující a jeho poradci by proto měli po prodávajícím požadovat dostatečně široké záruky a ujištění zejména co se týče rozsahu zpřístupněných dokumentů a souvisejících anonymizovaných přehledů v data roomu, seznamu všech šetření kupované společnosti prováděných Úřadem pro ochranu osobních údajů, včetně uložených sankcí, seznamu všech soudních sporů vedených se subjekty údajů a seznamu všech příjemců osobních údajů (jsou-li například osobní údaje sdíleny v rámci franšízy nebo koncernu). Tyto nové záruky a ujištění by kupujícímu měly garantovat především to, že po převzetí kupované společnosti neobjeví například pracovní smlouvu s neobvykle dlouhou výpovědní dobou nebo nestandardně vysokým odstupným anebo klientskou smlouvu, kterou nebude možno několik let po akvizici společnosti vypovědět. Mezi klientské smlouvy přitom může patřit i smlouva o nájmu bytu, pokud kupující nekupuje společnost, ale bytový dům.
Nakládá-li kupovaná společnost ve větším rozsahu s osobními údaji, nevyhne se kupující provedení právní prověrky se zvláštním zaměřením na zmapování procesů nakládání s osobními údaji v kupované společnosti. V praxi se bude jednat především o oblast seznamu zákazníků, který kupovaná společnost pro marketingové účely pořídila a vede, souhlasů subjektů údajů, zejména spotřebitelů, se zasíláním adresných obchodních sdělení a marketingových nabídek, profilování zákazníků, sdílení údajů o zaměstnancích v rámci celé skupiny, posouzení rizik plynoucích ze současného systému ochrany osobních údajů v kupované společnosti a povinnost jmenovat pověřence pro ochranu osobních údajů. Ve zkratce budou muset poradci kupujícího provést prověrku, zda kupovaná společnost zpracovává osobní údaje v souladu s GDPR.
V rámci zmapování procesů nakládání s osobními údaji v kupované společnosti se totiž může například ukázat, že kupovaná společnost nikdy od zákazníků neobdržela souhlas se zasílám emailových nabídek a z tohoto důvodu jí hrozí uložení sankce od Úřadu pro ochranu osobních údajů. Dále, že subjekty údajů neudělily kupované společnosti souhlas se zpracováním svých osobních údajů, a tak je kupovaná společnost povinna smazat celou svou zákaznickou databázi. Nebo že v důsledku absence souhlasu nelze v rámci vypořádání transakce převést zákaznickou databázi, kterou vlastní prodávající, na kupujícího anebo kupovanou společnost. Převod takové zákaznické databáze by totiž byl neplatný. U společností zaměřených na retailový sektor by přitom porušení povinností vyplývajících z GDPR mohlo mít zásadní vliv na jejich hodnotu.
Po uzavření transakční dokumentace musí kupující ve spolupráci s kupovanou společností a prodávajícím zajistit, aby v rámci propojení IT systémů kupujícího a kupované společnosti byly získány veškerá nezbytná oprávnění a souhlasy ke sdílení osobních údajů, aby nedošlo k úniku osobních údajů a aby prodávající zlikvidoval osobní údaje, k jejichž dalšímu zpracování již nemá právní důvod.
GDPR a důsledky pro M&A transakce v České republice
Jak pro prodávajícího a kupovanou společnost, tak pro kupujícího přináší GDPR nové povinnosti, které je potřeba vzít v potaz již v rámci přípravné fáze každé transakce. Jedná se zejména o zajištění bezpečného data roomu pro zpřístupnění dokumentů kupujícímu a jeho poradcům, uzavření smluv s poskytovatelem data roomu a kupujícím a přípravě anonymizovaných dokumentů, příp. vzorových smluv, a anonymizovaných přehledů pro jejich sdílení s kupujícím a jeho poradci.
Zvýšenou pozornost je pak žádoucí věnovat zmapování procesů nakládání s osobními údaji v kupované společnosti, pokud je hodnota kupované společnosti odvislá od toho, jak využívá osobní údaje pro své podnikání.
Potřeba ochrany osobních údajů nevyvstává jen u tzv. share dealu, ale může být relevantní i při tzv. asset dealu, kdy předmětem prověrky mohou být nájemní smlouvy na nemovitost, jež je předmětem transakce. V některých případech přitom transakce nemůže být strukturována jako tzv. asset deal, když GDPR obecně vylučuje převod osobních údajů bez souhlasu osob, které jsou zpracováním osobních údajů dotčeny. Nekonkrétní souhlas se zpřístupněním osobních údajů třetím osobám pak nelze považovat za řádný souhlas podle GDPR, a proto převod takových osobních údajů může být považován za neplatný.
Pro více informací:
ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00 Praha 1
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz
O ECOVIS ježek, advokátní kancelář s.r.o.:
Česká advokátní kancelář ECOVIS ježek se ve své praxi soustřeďuje především na obchodní právo, nemovitostní právo, vedení sporů, ale i financování a bankovní právo a poskytuje plnohodnotné poradenství ve všech oblastech, a tvoří tak alternativu pro klienty mezinárodních kanceláří. Mezinárodní rozměr poskytovaných služeb je zajištěn dosavadními zkušenostmi a prostřednictvím spolupráce s předními advokátními kancelářemi ve většině evropských zemí, USA a dalších jurisdikcích v rámci sítě ECOVIS působící v 75 zemích celého světa. Členové týmu advokátní kanceláře ECOVIS ježek mají dlouholeté zkušenosti z předních mezinárodních advokátních a daňových firem v poskytování právního poradenství nadnárodním korporacím, velkým českým společnostem, ale i středním firmám a individuálním klientům. Více informací na www.ecovislegal.cz.
Informace obsažené na této webové stránce jsou právnickou reklamou. Nepovažujte nic na této webové stránce za právní poradenství a nic na této webové stránce nepředstavuje vztah advokát-klient. Předtím, než začnete jednat o čemkoliv, o čem si na těchto stránkách přečtete, domluvte si právní konzultaci s námi. Dosavadní výsledky nejsou zárukou budoucích výsledků a předchozí výsledky neznamenají ani nepředpovídají budoucí výsledky. Každý případ je jiný a musí být posuzován podle vlastních okolností.