Kaip užtikrinti asmens duomenų apsaugą įmonės akcijų pardavimo sandorio metu
Prieš įsigydamas įmonę, pirkėjas paprastai atlieka jos teisinį bei finansinį auditą. Jo metu pirkėjui suteikiama galimybė susipažinti su plačiu spektru įmonės valdomos informacijos. Daugelyje pardavėjo pirkėjui pateikiamų dokumentų yra asmens duomenys, kurių tvarkymui Bendrasis duomenų apsaugos reglamentas (BDAR) kelia griežtus reikalavimus. Taigi ką reikėtų žinoti ir kaip iš anksto pasiruošti, kad dalijimasis informacija su pirkėju pardavėjui nekainuotų daugiau nei sandorio vertė.
- Bet koks dalinimasis informacija turėtų vykti tik pirkėjui pasirašius konfidencialumo įsipareigojimą, už kurio pažeidimą būtų nustatyta aiški atsakomybė. Tokiame konfidencialumo įsipareigojime, be kita ko, turėtų būti aiškiai apibrėžti duomenų naudojimo tikslai, pareiga juos grąžinti pardavėjui arba sunaikinti.
- Reikėtų nusistatyti aiškias įmonės patikrinimo taisykles. Taisyklėse turėtų būti konkrečiai įvardinta, kokie asmenys turi prieigą prie įmonės informacijos ir kokios yra jų teisės. Rekomenduojama įtvirtinti draudimus spausdinti, kopijuoti perkamos įmonės duomenis, dalintis slaptažodžiais ir kt.
- Priklausomai nuo susipažinimo su informacija formos (virtualus duomenų kambarys ar fizinės patalpos), reikia įgyvendinti tinkamas technines bei fizines informacijos apsaugos priemones. Jei duomenys talpinami virtualiame duomenų kambaryje, daugelis paslaugų teikėjų suteikia galimybę informaciją pasiekti tik konkrečiai identifikuotam naudotojui, naudojantis unikaliu slaptažodžiu. Taip pat yra galimybė pasirinkti tokį virtualaus duomenų kambario programinės įrangos funkcionalumą kaip draudimas spausdinti dokumentą, jį išsaugoti.
- Rekomenduojama iš anksto susitarti dėl įmonės patikrinimo etapų, laikantis principo, kad pradiniuose patikrinimo etapuose pateikiama tik nuasmeninta informacija. Informacija, kurioje yra asmens duomenys, pateikiama kiek įmanoma vėlesnėse sandorio stadijose. Pavyzdžiui, visas darbuotojų sąrašas, pagrindinių parduodamos įmonės darbuotojų atlyginimų dydžiai turėtų būti pateikiami vėliausiuose sandorio stadijose. Toks susitarimas gali būti įtvirtintas, pavyzdžiui, ketinimų protokole, akcijų pirkimo-pardavimo sutartyje arba įmonės patikrinimo taisyklėse.
- Turi būti laikomasi duomenų minimizavimo principo. Šis principas reiškia, kad pardavėjas pirkėjui gali atskleisti tik tiek duomenų, kiek reikia, ir ne daugiau. Pavyzdžiui, jei vėlesniuose įmonės patikrinimo etapuose pirkėjui pateikiamos pagrindinių perkamos įmonės darbuotojų darbo sutartys, pirkėjui nebūtina žinoti darbuotojų asmens kodų, sąskaitų numerių ir kitos papildomos informacijos, kurios nereikia duomenų tvarkymo tikslui pasiekti, t.y. įvertinti perkamą įmonę ir sudaryti ar užbaigti sandorį.
- Kiekvieną kartą turi būti įvertinta, ar asmens duomenų atskleidimas tikrai yra būtinas ir ar jį galima pagrįsti teisėtu interesu, jeigu tų interesų neviršija duomenų subjekto interesai. Toks teisėto intereso vertinimas turėtų būti dokumentuotas, kad, prireikus, priežiūros institucijai galima būtų įrodyti, kad duomenų perdavimo teisinis pagrindas buvo vertintas ir pagrįstas teisėtas interesas egzistavo.
- Rekomenduotina parduodamos įmonės privatumo pranešimuose, skirtuose darbuotojams, klientams ir kitiems asmenims, numatyti įmonės ar verslo pardavimo sąlygą, kurioje būtų nurodyta, kad asmens duomenis gali gauti trečiosios šalys, jei vykdomas įmonės ar verslo pardavimas. Tačiau toks duomenų subjektų informavimas apsaugos tik pačią perkamą įmonę, o ne pirkėją.
- Pirkėjas, kaip savarankiškas duomenų valdytojas, turi pareigą informuoti duomenų subjektus apie jų asmens duomenų gavimą, pateikdamas BDAR numatytą informaciją. Tokia informacija apima duomenų naudojimo tikslą, ištrynimo terminą, duomenų subjekto teisę nesutikti, kad jo duomenys būtų tvarkomi, kitas teises ir kt. Tai reikėtų padaryti per pagrįstą laikotarpį nuo asmens duomenų gavimo, bet ne vėliau kaip per vieną mėnesį, nebent duomenys atskleidžiami kitiems duomenų gavėjams ar ketinama susisiekti su pačiu duomenų subjektu. Pastaraisiais atvejais informuoti duomenų subjektus reikėtų ne vėliau, nei įvykdomi minėti veiksmai. Būkite atsargūs, jei duomenys pirkėjui perduodami į trečiąją valstybę, tokiu atveju taikomi papildomi apribojimai.
Advokatams taikoma tam tikra išimtis dėl duomenų subjektų informavimo. Advokatai, turėdami tinkamą teisėtą duomenų tvarkymo pagrindą, gali tvarkyti asmens duomenis neinformavę duomenų subjektų apie tai, kad yra savarankiški duomenų valdytojai. Advokatams taikoma BDAR išimtis, kaip profesionalams, kuriems taikomos profesinės paslapties prievolės. Tai gali būti tam tikras informavimo prievolės palengvinimas, suteikiant galimybę susipažinti su parduodamos įmonės dokumentais tik advokatams. Advokatai, teikdami teisinio patikrinimo ataskaitą klientui, galėtų pateikti tik apibendrintus duomenis, iš kurių nebūtų galima identifikuoti atskirų asmenų. Reikalui esant, klientui gali būti atskleidžiami tik tam tikri asmens duomenys, susiję su konkrečiu įmonės vertinimo aspektu ir tik tie konkretūs asmenys turėtų būti informuoti apie jų duomenų perdavimą pirkėjui. Tokiu būdu būtų maksimaliai išsaugota vykstančio sandorio paslaptis.
BDAR įsigaliojimas gerokai išgąsdino verslininkus dėl rizikų, susijusių su asmens duomenų atskleidimu vertinant perkamą įmonę. Tačiau, tinkamai iš anksto aptarus ir nusimačius įmonės patikrinimo etapus, riziką, susijusią su BDAR pažeidimu dėl duomenų perdavimo pirkėjui, galima sumažinti iki mažiausio lygio. Svarbiausia – susaistyti pirkėją konfidencialumo įsipareigojimu, nepamiršti informuoti duomenų subjektų, palaipsniui didinti duomenų perdavimo srautus ir pirkėjui atskleisti tik tuos duomenis, kurių būtinai reikia.
Advokatė Asta Macijauskienė yra advokatų kontoros GLIMSTEDT vyresnioji teisininkė, bendrovių teisės, M&A ir duomenų apsaugos ekspertė. Straipsnis publikuotas naujienų portale VZ.lt