• Čeština
  • English
  • Deutsch
  • Español
  • Русский
  • 中文 (中国)
  • Türkçe
  • Français

Основы ВВП для продавцов, покупателей и целевых компаний в обзорах Due Diligence и сделок M & A в Чешской Республике

Защита конфиденциальности играет жизненно важную роль в каждой транзакции, будь то в рамках оценки рисков для покупателя в случае неправильной обработки личных данных в целевой компании или при оценке того, как обрабатывать персональные данные, полученные в рамках юридической экспертизы.

Общее регулирование защиты данных ЕС - ВВП, который действует на всей территории ЕС с 25 мая 2018 года, не влияет только на повседневную деятельность компаний и их отделов маркетинга, но, как выясняется, также оказывает большое влияние на сделки слияний и поглощений. Каждая компания обрабатывает личные данные, будь то ее сотрудников, клиентов или деловых партнеров, и использует эти данные, например, для отправки специальных предложений на адреса электронной почты или для создания большой базы данных клиентов или для профилирования клиентов. Более того, эти данные часто распределяются между несколькими компаниями в рамках концерна или группы.

Поэтому обязательства, изложенные в новом ВВП, вынуждают все стороны, участвующие в сделках приобретения, пересматривать свои существующие процедуры и принимать новые меры для защиты персональных данных. Это касается, в первую очередь, личных данных, которые предоставляются покупателю и их советникам в рамках юридического осмотра приобретенной компании. В этом случае покупатель станет персональным контроллером данных, как только он получит доступ к комнате данных, где находятся данные.

Однако как продавец, так и приобретаемая компания должны обратить внимание на защиту персональных данных. Именно эти лица должны обеспечить предоставление персональных данных в соответствии с ВВП и только на основе необходимой информации, необходимой для завершения транзакции, и исключительно для уполномоченных лиц. Личные данные также должны быть достаточно защищены от несанкционированного обращения и, в случае неудачного приобретения, явно ликвидированы.

Если какая-либо участвующая сторона нарушает свои обязательства по ВВП, она подлежит штрафу в размере до 20 млн. Евро или, в случае предприятия, до 4% от общего годового мирового оборота за предыдущий финансовый год, в зависимости от того, какая из них выше.

Таким образом, вступление ВНС в силу потребует переоценки всего процесса приобретения, в частности в связи с обзором должной осмотрительности компании и созданием информационной комнаты, а также с установкой новых правил конфиденциальности, которые будут соответствовать ВВП.

Позиция продавца в сделке M & A

На подготовительном этапе продажи компании продавец должен заранее обеспечить безопасный способ для покупателя получить доступ к документам о купленной компании в целях юридической проверки или других обзоров. В большинстве случаев это будет подготовка комнаты данных. Комната данных должна быть достаточно безопасной для предотвращения несанкционированного обращения с персональными данными и возможной утечки, чтобы соответствовать требованиям ВВП. В первую очередь это включает шифрование хранимых документов, установку прав доступа для отдельных пользователей, журналов пользователей и регулярных проверок безопасности ИТ-системы, которая составляет комнату данных.

Если продавец решает использовать услуги внешнего провайдера, необходимо будет сначала заключить соглашение о персональной обработке данных с таким поставщиком, поскольку поставщик данных будет становиться процессором данных. Соглашение о персональной обработке данных должно быть заключено с поставщиком приобретенной компанией, так как в большинстве случаев это будет контролер персональных данных в комнате данных.

В соглашении о обработке персональных данных необходимо будет отрегулировать объем персональных данных, открытых через комнату данных, и договориться о гарантиях, касающихся его защиты, включая его удаление (удаление с сервера) после закрытия информационной комнаты. Нельзя забывать вопрос о стране, в которой будут располагаться серверы внешнего провайдера, и где будут храниться документы для проверки правовой экспертизы. Если эти серверы находятся за пределами ЕС, поставщик внешних услуг должен предоставить гарантии того, что персональные данные будут переданы третьей стране исключительно в соответствии с GDPR (обычно на основе обязательных корпоративных правил или стандартных договорных положений). Внешний поставщик также должен быть связан обязанностью конфиденциальности. Однако, заключая соглашение о обработке персональных данных, ни продавец, ни приобретенная компания полностью не освобождаются от ответственности за защиту персональных данных, хранящихся в комнате данных внешнего поставщика. Поэтому желательно, чтобы поставщик данных также обязывал возместить продавцу и приобретенной компании в случае нарушения договора обработки персональных данных.

Многие компании предоставляют персональные данные для анализа должной осмотрительности с помощью широко используемых систем облачного хранения, таких как Dropbox, iCloud, Google Drive, OneDrive и / или uloz.to. Однако такая процедура не может быть рекомендована в свете ВВП. Эти службы в большинстве случаев не позволяют вам установить достаточный уровень безопасности для персональных данных. В частности, проблема совместного использования документов сама по себе является достаточно проблематичной, поскольку эти службы обычно не позволяют устанавливать разные права для разных пользователей (например, «только чтение документа»), удаленно удалять документы с пользовательских устройств или записывать журналы пользователей (например, какой пользователь получил доступ к конкретному документу в комнате данных).

До установления доступа покупателя к самой комнате данных целесообразно заключить с покупателем соглашение, в котором будут оговариваться условия раскрытия персональных данных, в том числе его защита во время проверки должной осмотрительности купленной компании, и ее последующая ликвидация, дополнительно указывающая название и цель, для которых персональные данные будут использоваться покупателем, и в которых будет согласовано обязательство конфиденциальности покупателя. Условия конфиденциальности также могут быть включены в соглашение о конфиденциальности, которое обычно заключено для сделок M & A, тем самым избегая необходимости подписывать два отдельных контракта. В соглашении покупатель должен быть обязан предотвратить передачу персональных данных от несанкционированного раскрытия третьим лицам, должны быть указаны консультанты, которые будут иметь доступ к комнате данных, и покупатель должен обеспечить ликвидацию персональных данных, если сделка не является успешно завершено. Если покупатель нарушает соглашение, покупатель должен быть обязан возместить продавцу и приобретенной компании за любой ущерб, причиненный им в связи с таким нарушением. Если у покупателя есть зарегистрированный офис за пределами ЕС, продавец и покупатель должны будут оценить условия, при которых они могут передавать личные данные за пределами ЕС.

Кроме того, необходимо рассмотреть, какие документы, содержащие персональные данные, могут быть предоставлены покупателю и его советникам в рамках проверки должной осмотрительности. ВВП основан на принципе минимизации обработки персональных данных. Эта проблема обычно возникает в связи с трудовыми договорами и контрактами с потребителями.

Если продавец и / или приобретенная компания не анонимны, насколько это необходимо, личные данные в контрактах и ​​других документах, загруженных в комнату данных, например. посредством их затемнения, они подвергаются риску наложения штрафа Управлением по защите персональных данных. Редактирование десятков или даже сотен трудовых договоров или контрактов с клиентами может занять много времени и довольно дорого. В качестве альтернативы, поэтому целесообразно предусмотреть в рамках процедуры due diligence только типовые контракты, обычно заключенные покупаемой компанией, вместе с агрегированными анонимизированными таблицами, содержащие важную деловую информацию для покупателя (например, заработная плата, выходная плата, неконкурентные оговорки, периоды уведомления и т. д.) или отклонения от типового контракта.

Можно считать, что в рамках должной осмотрительности покупателю и его советникам будут предоставляться контракты с ключевыми сотрудниками или клиентами в целом, исходя из законной заинтересованности покупателя в подробном понимании статуса купленной компании и условия этих существенных контрактов. Однако доступ к таким контрактам должен оцениваться на разовой основе с учетом законных интересов покупателя, необходимости раскрытия персональных данных покупателю и так называемого теста пропорциональности.

С другой стороны, покупатель должен знать, что GDPR может установить информационное обязательство покупателя по отношению к работникам, клиентам и другим лицам, как только их личные данные в комнате данных будут доступны для него. В этом случае покупатель должен будет сообщить этим лицам, что он обрабатывает свои персональные данные, и для каких целей он это делает. Поскольку обе стороны обычно настаивают на строгой конфиденциальности при ведении переговоров о приобретении, в интересах всех участвующих сторон должно быть раскрыто покупателю минимум персональных данных через комнату данных.

Чувствительные данные о сотрудниках, такие как состояние их здоровья, членство в профсоюзах и т. Д., Не могут быть раскрыты покупателю вообще.

Если сделка не будет успешно завершена, продавец или приобретаемая компания будут обязаны обеспечить закрытие хранилища данных и ликвидацию всех персональных данных, к которым приобрел покупатель и его советники. Это обязательство должно учитываться как продавцом, так и приобретенной компанией до того, как будет создана дата-комната.

Позиция покупателя в сделке M & A

Информация в комнате данных имеет решающее значение для покупателя, так что она может судить с заботой о прилежном менеджере, выгодно ли ей завершить приобретение приобретенной компании. Заглавие покупателя для обработки персональных данных в комнате данных обычно является контрактом с приобретенной компанией или продавцом или законным интересом покупателя, зная состояние компании и риски, которые возникают у нее из покупка компании. Покупатель должен знать, что, как только он получает доступ к комнате данных, он становится контролером персональных данных, хранящихся в комнате данных, и будет обязан соблюдать обязательства, вытекающие из него из ВВП.

В частности, покупатель должен будет настроить свои внутренние процессы, чтобы гарантировать, что никто из неавторизованных лиц не получит доступ к персональным данным в комнате данных, чтобы определить приоритеты ограниченного набора пользователей комнаты данных, принять необходимую политику конфиденциальности, записать, как личные данные в данных комнаты обрабатываются и выполняют любые дополнительные обязательства, вытекающие из ВВП.

Если персональные данные сотрудников и клиентов купленной компании или других лиц включены в комнату данных, покупатель может потребовать предоставить информацию этим лицам о способе их обработки персональных данных. Поэтому рекомендуется, чтобы контракты с занятостью и клиентом были анонимизированы. Если невозможно анонимизировать трудовые и клиентские контракты, желательно предоставить покупателю примерный трудовой договор или образец клиентского контракта с агрегированными анонимизированными данными по ключевым бизнес-аспектам заключенных контрактов.

Однако вышеуказанные требования предъявляют повышенные требования к содержанию документации по транзакциям. Поэтому покупатели и его советники должны требовать от продавца предоставления достаточно широких гарантий и заверений, особенно в отношении объема предоставленных документов и соответствующих анонимных обзоров в комнате данных, список всех расследований приобретенной компании в том числе введенные санкции, список всех судебных разбирательств, проводимых субъектами данных, и список всех получателей персональных данных (например, если личные данные передаются в рамках франшизы или проблемы). Эти новые гарантии и гарантии должны гарантировать покупателю, в частности, что после приобретения приобретенной компании он не найдет, например, трудовой договор с необычно длинным периодом уведомления или с нестандартным высоким посохом по выходным пособиям или клиентский договор, который не может быть расторгнут в течение нескольких лет после приобретения компании. Клиентские соглашения могут также включать договор аренды, если покупатель не покупает компанию, а жилой дом или жилой квартал.

Если приобретенная компания обрабатывает больший объем персональных данных, покупатель не будет избегать проведения юридического анализа с особым акцентом на картирование процесса обработки персональных данных в приобретенной компании. На практике это будет в первую очередь касаться списка клиентов, которые приобретенная компания получила и поддерживает в маркетинговых целях, согласие субъектов данных, в частности потребителей, на отправку прямых деловых сообщений и маркетинговых предложений, профилирование клиентов, совместное использование данных сотрудников через группа, оценка рисков, возникающих в связи с текущей системой защиты персональных данных в приобретенной компании, и обязательство назначить сотрудника по защите данных (DPO). Короче говоря, советники покупателя должны будут проверить, обрабатывает ли приобретенная компания персональные данные в соответствии с ВВП.

В рамках сопоставления процессов обработки персональных данных в приобретенной компании он может, например, показать, что приобретенная компания никогда не получала согласия от клиентов на отправку предложений по электронной почте, и поэтому существует риск того, что Office для личных данных Защита наложит на него санкцию. Или еще может показать, что субъекты данных не предоставили приобретенной компании свое согласие на обработку своих персональных данных, и поэтому приобретенная компания должна удалить всю свою базу данных клиентов. Или он может показать, что из-за отсутствия согласия невозможно передать клиентскую базу, принадлежащую продавцу покупателю или купленной компании в рамках урегулирования сделки. Передача такой базы данных клиентов будет недействительной. Для компаний в розничном секторе нарушения обязательств по ВВП могут оказать существенное влияние на их стоимость.

После того, как сделка была заключена, покупатель в сотрудничестве с купленной компанией и продавцом должен обеспечить получение всех необходимых разрешений и разрешений для обмена личными данными в рамках подключения ИТ-систем покупателя и приобретенной компании, так что личные данные не просачиваются, а продавец ликвидирует личные данные, для которых у него нет законных оснований для дальнейшей обработки.

ВВП и последствия для сделок M & A в Чешской Республике

Как для продавца, так и для приобретаемой компании, ВВП принимает новые обязательства, которые необходимо учитывать уже на подготовительном этапе каждой транзакции. Это означает, в частности, обеспечение надежной информационной комнаты для предоставления покупателю и его советникам доступа к документам, заключения контрактов с поставщиком данных и покупателя и подготовки анонимизированных документов, типовых контрактов и анонимных обзоров для обмена информацией с покупателя и его советников.

Повышенное внимание следует уделять картированию процессов обработки персональных данных в приобретенной компании, если стоимость приобретенной компании зависит от того, как она использует персональные данные для своей коммерческой деятельности.

Необходимость защиты персональных данных возникает не только в так называемой сделке с акциями, но также может иметь значение в так называемой сделке с активами, когда предметом обзора могут быть арендные договоры на имущество, являющееся предметом сделки , В некоторых случаях транзакция не может быть структурирована как сделка с активами, когда ВВП вообще не включает передачу персональных данных без согласия лиц, затронутых обработкой указанных персональных данных. Неспецифическое согласие на раскрытие персональных данных третьим лицам не может считаться надлежащим соглашением в соответствии с GDPR, и поэтому передача таких персональных данных может считаться недействительной.

Для получения более подробной информации, пожалуйста, свяжитесь:

JUDr. Моджмир Жежек, к.т.н.
Управляющий партнер

ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00 Прага 1
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz

О ECOVIS ježek advokátní kancelář s.r.o.
Юридическое бюро ECOVIS ježek практикует в основном в области коммерческого права, законодательства в сфере недвижимости, управления спорами, а также финансов и банковского права и предоставляет всесторонние консультации по всем направлениям, что делает его подходящей альтернативой для клиентов международных юридических ведомств , Международный аспект предоставляемых услуг обеспечивается за счет прошлого опыта и сотрудничества с ведущими юридическими представительствами в большинстве европейских стран, США и других юрисдикций. Члены команды ECOVIS ježek имеют многолетний опыт работы в ведущих международных юридических бюро и налоговых компаниях, в предоставлении юридических консультаций для многонациональных корпораций, крупных чешских компаний, а также для компаний среднего размера и индивидуальных клиентов. Для получения дополнительной информации перейдите на сайт www.ecovislegal.cz.

Эта статья была переведена Google translate.

Комментарии закрыты.