隐私保护在每笔交易中都起着至关重要的作用,无论是在目标公司的个人数据处理不当的情况下评估买方风险的一部分,还是评估如何处理在框架内获得的个人数据 法律尽职调查。
欧盟的一般数据保护条例 - GDPR,自2018年5月25日起在欧盟全境有效,不仅影响公司及其营销部门的日常运作,但事实证明, 对并购交易也有重大影响。 每家公司都处理个人数据,无论是员工,客户还是业务合作伙伴,并使用这些数据,例如,向电子邮件地址发送特别优惠,或创建大型客户数据库,或进行客户分析。 此外,这些数据通常在一个关注或集团内的几家公司之间共享。
因此,新的GDPR规定的义务迫使参与收购交易的所有各方审查其现有程序,并采取新措施保护个人数据。 这主要涉及在购买公司的法律尽职调查中向买方及其顾问提供的个人数据。 在这种情况下,一旦获得对数据所在的数据室的访问,买方将成为个人数据控制者。
但是,卖方和购买公司都应该注意个人数据的保护。 正是这些人必须确保根据GDPR提供个人数据,并且仅在完成交易所必需的基础上提供,并且仅限于授权人员。 个人数据也必须得到充分保护,以防止未经授权的处理,并且在收购失败的情况下,可以明确清算。
如果任何参与方违反其在GDPR下的义务,则可处以高达2000万欧元的罚款,如果是企业,则可处以上一财政年度全球年营业额总额的4%,以两者为准 更高。
因此,GDPR的生效将需要重新评估整个收购过程,特别是有关公司的尽职调查和数据室的建立,以及建立符合新的隐私规则的新的隐私规则。 GDPR。
卖方在并购交易中的地位
在出售公司的准备阶段,出于法律尽职调查或其他审查的目的,卖方应事先确保买方获取有关所购公司的文件的安全方式。在大多数情况下,这将是数据室的准备。数据室应足够安全,以防止未经授权处理个人数据及其可能的泄漏,以满足GDPR要求。这主要包括加密存储的文档,设置单个用户的访问权限,用户日志以及组成数据室的IT系统的定期安全审核。
如果卖方决定使用外部提供商的服务,则必须首先与这样的提供商签订个人数据处理协议,因为数据室提供商将成为数据处理者。个人数据处理协议应由购买的公司与提供商签订,因为在大多数情况下,它将是数据室中个人数据的控制者。
在个人数据处理协议中,有必要调整通过数据室披露的个人数据的范围,并就有关其保护的保证达成一致,包括在数据室关闭后删除(从服务器删除)。人们不能忘记外部提供商的服务器所在的国家的问题,以及存储法律尽职调查的文件的位置。如果这些服务器位于欧盟以外,则外部服务提供商必须提供保证,证明个人数据将仅根据GDPR(通常基于具有约束力的公司规则或标准合同条款)转移到第三国。外部提供者还必须遵守保密义务。但是,通过签订个人数据处理协议,卖方和购买公司都不会完全放弃保护存储在外部提供商的数据室中的个人数据的责任。因此,在违反个人数据处理协议的情况下,数据室提供商还承诺对卖方和购买的公司进行赔偿。
许多公司通过常用的云存储系统(如Dropbox,iCloud,Google Drive,OneDrive和/或uloz.to)提供个人数据,以满足尽职调查的需求。 但是,根据GDPR,不建议采用这种程序。 在大多数情况下,这些服务不允许您为个人数据设置足够的安全级别。 特别是,文档共享问题本身就存在问题,因为这些服务通常不允许为不同用户设置不同的权限(例如“只读文档”),从用户设备远程删除文档或记录用户日志 (例如,哪个用户已获得对数据室中特定文档的访问权)。
在确定买方对数据室本身的访问权限之前,最好与买方达成协议,该协议将规定个人数据披露的条件,包括在对所购公司进行尽职调查期间的保护,以及随后的清算,进一步明确买方使用个人数据的名称和目的,并确定买方的保密义务。隐私条件也可以纳入通常为并购交易达成的保密协议,从而避免签署两份单独的合同。在协议中,买方应致力于防止个人数据未经授权向第三方披露,应指定可以访问数据室的顾问,如果交易不是,则买方应确保清算个人数据成功完成。如果买方违反协议,买方有义务赔偿卖方和被收购公司因此类违约而对其造成的任何损害。如果买方在欧盟以外的地方设有注册办事处,则卖方和买方必须评估他们可以在欧盟以外传递个人数据的条件。
此外,有必要考虑哪些包含个人数据的文件可以在尽职调查的框架内提供给买方及其顾问。 GDPR基于最小化个人数据处理的原则。这个问题通常出现在雇佣合同和与消费者签订的客户合同中。
如果卖方和/或购买的公司没有在必要的范围内匿名化合同中的个人数据和在数据室中上传的其他文件,例如,通过他们的黑名单,他们面临被个人数据保护办公室处以罚款的风险。几十个甚至几百个就业或客户合同的编辑可能非常耗时且成本很高。作为替代方案,因此建议在尽职调查过程中仅提供购买公司通常签订的样本合同,以及汇总的匿名表格,其中包含买方的基本商业信息(例如工资,遣散费,不竞争)条款,通知期等),或与样本合同的偏差。
可以认为,在尽职调查的框架内,买方及其顾问将根据买方的合法利益,与关键员工或客户完全签订合同,详细了解所购买公司的状态和这些重要合同的条款。但是,必须考虑到买方的合法利益,向买方披露个人数据的必要性以及所谓的比例检验,临时评估此类合同的获取。
另一方面,买方必须意识到,一旦他们在数据室中获得个人数据,GDPR就可以规定买方对员工,客户和其他人的信息义务。在这种情况下,买方必须告知这些人它处理他们的个人数据,以及它的目的是什么。由于双方在谈判收购时一般都坚持严格保密,因此通过数据室向买方披露最少的个人数据应符合所有参与方的利益。
员工的敏感数据,例如他们的健康状况,工会会员资格等,根本无法向买家披露。
如果交易未成功完成,卖方或购买的公司将有义务确保关闭数据室并清算买方及其顾问可以访问的所有个人数据。 在数据室建立之前,卖方和购买公司都应考虑这一义务。
买方在并购交易中的地位
数据室中的信息对于买方来说至关重要,因此它可以在勤勉的经理的帮助下判断是否有利于其完成对所购买公司的收购。买方在数据室中处理个人数据的所有权通常是与被购买公司或卖方的合同,或买方的合法利益,以了解公司的状态以及从中获得的风险。购买该公司。买方必须意识到,一旦进入数据室,它就成为数据室中存储的个人数据的控制者,并有义务遵守GDPR对其产生的义务。
特别是,买方将被要求建立其内部流程,以确保未经授权的人员不会访问数据室中的个人数据,确定有限数据室用户的优先级,采用必要的隐私政策,以记录如何处理房间数据本身的个人数据,并履行GDPR产生的任何额外义务。
如果数据室中包括所购买公司的雇员和客户的个人数据或其他人,则可能要求买方向这些人提供关于其个人数据处理方式的信息。 因此,建议匿名雇佣和客户合同。 如果无法对雇佣合同和客户合同进行匿名化,则建议向买方提供样本雇佣合同或样本客户合同,并在合同的关键业务方面汇总匿名数据。
但是,上述要求对交易文档的内容提出了更高的要求。因此,买方及其顾问应要求卖方提供足够广泛的保证和保证,特别是关于提供的文件范围,以及数据室中的相关匿名概述,所购买公司的所有调查清单个人数据保护办公室,包括实施的制裁,与数据主体进行的所有诉讼的清单,以及所有个人数据接收者的清单(例如,如果个人数据在特许经营或关注中共享)。这些新的担保和保证应特别向买方保证,在接管购买的公司后,它不会发现例如具有异常长的通知期或非标准高遣散费的雇佣合同,或在收购公司后几年内可能不会终止的客户合同。如果买方不购买公司而是购买公寓楼或住宅区,则客户协议还可能包括租赁协议。
如果购买的公司处理大量的个人数据,买方将不会避免进行法律审查,特别注重映射在购买的公司中处理个人数据的过程。 在实践中,它主要涉及被购买公司为营销目的而获得和维护的客户列表,数据主体(特别是消费者)的同意,发送直接业务通信和营销要约,客户分析,跨越共享员工数据。 集团,评估购买公司当前的个人数据保护系统所产生的风险,以及任命数据保护官员(DPO)的义务。 简而言之,买方的顾问必须检查所购买的公司是否按照GDPR处理个人数据。
在所购买公司处理个人数据的过程映射中,例如,它可以表明所购买的公司从未收到客户同意发送电子邮件要约,因此存在个人数据办公室的风险 保护将对其施加制裁。 或者它还可以进一步表明数据主体未授权所购买的公司同意处理其个人数据,因此所购买的公司需要删除其整个客户数据库。 或者它可以表明,由于未经同意,作为交易结算的一部分,不可能将卖方拥有的客户数据库转移给买方或购买的公司。 转移此类客户数据库将无效。 对于零售行业的公司而言,违反GDPR义务可能会对其价值产生重大影响。
交易完成后,买方与购买的公司和卖方合作,必须确保在连接买方和购买公司的IT系统的框架内获得共享个人数据的所有必要授权和许可, 因此,个人数据不会泄露,并且卖方清算其没有合法理由进一步处理的个人数据。
保护个人数据的需要不仅出现在所谓的股权交易中,而且还可能与所谓的资产交易相关,其中审查的主题可以是作为交易主体的财产的租赁协议。。 在某些情况下,如果未经受上述个人数据处理影响的人员同意,GDPR通常会排除个人数据的转移,则交易不能构成资产交易。 非法同意向第三方披露个人数据不能视为GDPR下的适当同意,因此转让此类个人数据可能被视为无效。
获取更多资讯,请联系:
JUDr. Mojmír Ježek,Ph.D.
管理伙伴
ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00布拉格1
电子邮件:mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz
关于ECOVIS ježek, advokátní kancelář s.r.o.。
ECOVIS ježek律师事务所主要从事商业法,房地产法,争议管理以及金融和银行法领域的工作,并在所有领域提供全面的咨询服务,使其成为国际法律办公室客户的合适选择。 。通过过去的经验以及与大多数欧洲国家,美国和其他司法管辖区的主要法律办公室的合作,确保所提供服务的国际层面。 ECOVIS ježek团队的成员拥有多年领先的国际律师事务所和税务公司的经验,为跨国公司,大型捷克公司以及中型公司和个人客户提供法律咨询。有关更多信息,请访问www.ecovislegal.cz。
本文已被谷歌翻译翻译。