Cégátvilágítás – A „due diligence” adatvédelmi problémái

A szerző az alábbi cikkében a cégátvilágítás, az úgynevezett „due diligence”-eljárás során felmerülő adatvédelmi problémákat veszi górcső alá.


Aki már értékesített céget, tudja, hogy az átruházást, a végleges megállapodást sokszor megelőzi a társaság könyveinek, adatainak, iratanyagának a vevő szakemberei által történő vizsgálata. Ez több szakirányból is megvalósulhat, mert itt gondolnunk kell a számviteli, az adózási, a jogi, de a cég működési területéhez kapcsolódó speciális, akár a műszaki folyamatokra is irányuló átvilágításra. Erre a monitoring-folyamatra használják a „due diligence” kifejezést az e területen tevékenykedők terminológiájában.

Az átvilágítás során eljáró szakembereknek a számviteli, az adózási, a jogi, a műszaki előírások mellett már gondolniuk kell az adatvédelem követelményeire is e munka során. A due diligence jellemzően megkívánja, hogy az átvilágítók a céltársaság adatbázisaiban fellelhető személyes adatok kezelését is górcső alá vegyék. Ilyen adat pedig szép számmal akad általában a gazdasági társaságok adatvagyonában.

Melyek is jellemzően ezek? Ide sorolhatóak (i) az üzleti partnerek természetes személy kapcsolattartóinak, (ii) a természetes személy ügyfeleknek, (iii) a természetes személy üzleti partnereknek, valamint (iv) a munkavállalóknak a személyes adatai.

E személyes adatoknak minden esetben a gazdasági tevékenységhez kötődő konkrét célhoz, jogalaphoz kötött a cég által történő adatkezelése, és erről szabályzatok, érdekmérlegelési tesztek, tájékoztatók rendelkeznek. A tapasztalataink szerint ezekben a dokumentációkban azonban jellemzően soha nem szerepel, hogy a személyes adatokat a gazdasági vállalkozások egy due diligence során harmadik személy részére felfedje, továbbítsa.

Ez a harmadik személy pedig időnként egy versenytárs, de mindenképpen egy olyan új szereplő, akiről az adat érintettje nem tudhatott, amikor a személyes adatainak az eredeti cég számára történő átadásáról döntött. Ilyen adatkezelési célt, az ehhez kapcsolódó jogalapot az adatkezelők előzetesen nem szoktak meghatározni és szabályozni.

Az EU Általános Adatvédelmi Rendelete (GDPR) pedig feltétlenül elvárja, hogy minden adatkezelés tekintetében körültekintően járjanak el az adatkezelők, és betartsák a megfelelő előírásokat.

Ezért az átvilágítás előtt mindenképpen meg kell határozni az új adatvédelmi célokat, folyamatokat, jogalapokat és a megfelelő adatkezelési módszereket, szem előtt tartva többek között az adatminimalizálás és az elszámoltathatóság elvét.

A due diligence adatkezelésében új adatkezelők és új adatfeldolgozók jelennek meg. Valamennyiüknek el kell végezni az adatok kapcsán a saját előzetes elemzésüket, és definiálniuk kell a céljaikat, a kezelt adatok körét, az adatkezelés menetét, eszközeit. Új adatkezelő lehet akár a cég tulajdonosa, mivel az ő érdeke a cégeladás okán az egyes adatok új irányú kezelése, továbbítása a vevő, mint új adatkezelő, vagy annak adatfeldolgozója részére.

A jogi átvilágítás előkészítése, folyamata a vizsgált céltársaság személyes adatkezelésének új céljait és az adatvédelmi gondolkodás új aspektusát generálja. Ez céljában, jogalapjában eltér a normál, az addigi rendes gazdasági működéshez kapcsolódó adatkezeléstől, és ezek újragondolását, szabályozását igényli.

Ebben a tervezési folyamatban jellemzően felmerül, hogy az adatkezeléssel érintetteket értesíteni kell az új adatkezelési célról, az adattovábbításról. Ez az értesítési kötelezettség gyakran ellentétes a tervezett cégátvétel nyilvánosságra hozatala vonatkozásában a tranzakció szereplőinek üzleti céljaival. Ez oda vezet, hogy a due diligence során a vevő által megismerhető konkrét személyes adatokat körét inkább a lehető legkisebb mennyiségre csökkentik, hogy e tájékoztatási kötelezettségek felmerülését elkerüljék, mivel hátrányos lehet, ha a cégfelvásárlás terve idő előtt, akár az üzleti partnerek, akár a munkavállalók vagy az ügyfélkör tudomására jut.

Az átvilágítás technikai eszközeit is jól meg kell választani, mivel az adatkezelőnek az adatbiztonságra itt is kiemelt figyelmet kell fordítania. Nem kerülhet olyan helyzetbe, hogy a normál működés során egyébként megfelelő biztonsággal kezelt adatok az átvilágítás alatt egy rosszul megválasztott módszer, technológia miatt nyilvánosságra kerülnek.

Különös óvatossággal kell eljárni akkor, ha a cégfelvásárlásra egy versenytárs jelentkezett, hiszen az átvilágítás alatt számos érzékeny adathoz férhet hozzá, és ha a cégfelvásárlás nem jön létre, akkor ezek az átadott információk már kétséges, hogy teljes egészében töröltethetőek lesznek a konkurensnél.

Ezért érdemes már a jogi átvilágításról szóló tárgyalások megkezdésekor adatvédelmi szakembert bevonni a tárgyalásokba.

ECOVIS új logo

A cikk szerzője dr. Zalavári György senior partner ügyvéd. Az Ecovis Hungary Legal a Jogászvilág.hu szakmai partnere.



Kapcsolódó cikkek:


A jogi folyamatok automatizálása
2021. június 17.

A jogi folyamatok automatizálása

Cikkünkben megvizsgáljuk, hogy a folyamatok strukturálása miért olyan fontos lépés a jogi szoftverek bevezetése előtt.

Kötelező-e az elővásárlásra jogosultak megkeresése?
2021. június 17.

Kötelező-e az elővásárlásra jogosultak megkeresése?

Mindannyiunk számára jól ismert, hogy ha osztatlan közös tulajdonban álló ingatlant készülünk eladni, a vételi ajánlatot közölni kell az elővásárlási jogra jogosultakkal. De vajon ez minden esetben kötelező-e még akkor is, ha az elővásárlásra jogosultak száma aránytalanul magas? A Kúria 2021.147. számú bírósági határozata megadja számunkra a választ jelen kérdésben.

Új fizetésképtelenségi eljárások kerültek fel a palettára
2021. június 16.

Egyelőre bizonytalan, hogy a vírushelyzet által életre hívott reorganizációs eljárás milyen fogadtatásra lel a gazdasági szereplők körében, ahogyan az is, hogy meddig élhetnek a vállalkozások a reorganizáció eszközével.