Cégátvilágítás – A „due diligence” adatvédelmi problémái


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A szerző az alábbi cikkében a cégátvilágítás, az úgynevezett „due diligence”-eljárás során felmerülő adatvédelmi problémákat veszi górcső alá.

Aki már értékesített céget, tudja, hogy az átruházást, a végleges megállapodást sokszor megelőzi a társaság könyveinek, adatainak, iratanyagának a vevő szakemberei által történő vizsgálata. Ez több szakirányból is megvalósulhat, mert itt gondolnunk kell a számviteli, az adózási, a jogi, de a cég működési területéhez kapcsolódó speciális, akár a műszaki folyamatokra is irányuló átvilágításra. Erre a monitoring-folyamatra használják a „due diligence” kifejezést az e területen tevékenykedők terminológiájában.

Az átvilágítás során eljáró szakembereknek a számviteli, az adózási, a jogi, a műszaki előírások mellett már gondolniuk kell az adatvédelem követelményeire is e munka során. A due diligence jellemzően megkívánja, hogy az átvilágítók a céltársaság adatbázisaiban fellelhető személyes adatok kezelését is górcső alá vegyék. Ilyen adat pedig szép számmal akad általában a gazdasági társaságok adatvagyonában.

Melyek is jellemzően ezek? Ide sorolhatóak (i) az üzleti partnerek természetes személy kapcsolattartóinak, (ii) a természetes személy ügyfeleknek, (iii) a természetes személy üzleti partnereknek, valamint (iv) a munkavállalóknak a személyes adatai.

E személyes adatoknak minden esetben a gazdasági tevékenységhez kötődő konkrét célhoz, jogalaphoz kötött a cég által történő adatkezelése, és erről szabályzatok, érdekmérlegelési tesztek, tájékoztatók rendelkeznek. A tapasztalataink szerint ezekben a dokumentációkban azonban jellemzően soha nem szerepel, hogy a személyes adatokat a gazdasági vállalkozások egy due diligence során harmadik személy részére felfedje, továbbítsa.

Ez a harmadik személy pedig időnként egy versenytárs, de mindenképpen egy olyan új szereplő, akiről az adat érintettje nem tudhatott, amikor a személyes adatainak az eredeti cég számára történő átadásáról döntött. Ilyen adatkezelési célt, az ehhez kapcsolódó jogalapot az adatkezelők előzetesen nem szoktak meghatározni és szabályozni.

Az EU Általános Adatvédelmi Rendelete (GDPR) pedig feltétlenül elvárja, hogy minden adatkezelés tekintetében körültekintően járjanak el az adatkezelők, és betartsák a megfelelő előírásokat.

Ezért az átvilágítás előtt mindenképpen meg kell határozni az új adatvédelmi célokat, folyamatokat, jogalapokat és a megfelelő adatkezelési módszereket, szem előtt tartva többek között az adatminimalizálás és az elszámoltathatóság elvét.

A due diligence adatkezelésében új adatkezelők és új adatfeldolgozók jelennek meg. Valamennyiüknek el kell végezni az adatok kapcsán a saját előzetes elemzésüket, és definiálniuk kell a céljaikat, a kezelt adatok körét, az adatkezelés menetét, eszközeit. Új adatkezelő lehet akár a cég tulajdonosa, mivel az ő érdeke a cégeladás okán az egyes adatok új irányú kezelése, továbbítása a vevő, mint új adatkezelő, vagy annak adatfeldolgozója részére.

A jogi átvilágítás előkészítése, folyamata a vizsgált céltársaság személyes adatkezelésének új céljait és az adatvédelmi gondolkodás új aspektusát generálja. Ez céljában, jogalapjában eltér a normál, az addigi rendes gazdasági működéshez kapcsolódó adatkezeléstől, és ezek újragondolását, szabályozását igényli.

Ebben a tervezési folyamatban jellemzően felmerül, hogy az adatkezeléssel érintetteket értesíteni kell az új adatkezelési célról, az adattovábbításról. Ez az értesítési kötelezettség gyakran ellentétes a tervezett cégátvétel nyilvánosságra hozatala vonatkozásában a tranzakció szereplőinek üzleti céljaival. Ez oda vezet, hogy a due diligence során a vevő által megismerhető konkrét személyes adatokat körét inkább a lehető legkisebb mennyiségre csökkentik, hogy e tájékoztatási kötelezettségek felmerülését elkerüljék, mivel hátrányos lehet, ha a cégfelvásárlás terve idő előtt, akár az üzleti partnerek, akár a munkavállalók vagy az ügyfélkör tudomására jut.

Az átvilágítás technikai eszközeit is jól meg kell választani, mivel az adatkezelőnek az adatbiztonságra itt is kiemelt figyelmet kell fordítania. Nem kerülhet olyan helyzetbe, hogy a normál működés során egyébként megfelelő biztonsággal kezelt adatok az átvilágítás alatt egy rosszul megválasztott módszer, technológia miatt nyilvánosságra kerülnek.

Különös óvatossággal kell eljárni akkor, ha a cégfelvásárlásra egy versenytárs jelentkezett, hiszen az átvilágítás alatt számos érzékeny adathoz férhet hozzá, és ha a cégfelvásárlás nem jön létre, akkor ezek az átadott információk már kétséges, hogy teljes egészében töröltethetőek lesznek a konkurensnél.

Ezért érdemes már a jogi átvilágításról szóló tárgyalások megkezdésekor adatvédelmi szakembert bevonni a tárgyalásokba.

ECOVIS új logo

A cikk szerzője dr. Zalavári György senior partner ügyvéd. Az Ecovis Hungary Legal a Jogászvilág.hu szakmai partnere.




Kapcsolódó cikkek

2024. március 28.

A törvényességi felügyeleti eljárás és a kényszertörlés viszonya

A cégnyilvánosságról, a bírósági cégeljárásról és a végelszámolásról szóló 2006. évi V. törvény (Ctv.) szabályozza a törvényességi eljárást, illetve az ahhoz bizonyos értelemben szorosan kapcsolódó kényszertörlési eljárást. A törvényességi felügyeleti eljárás célja, hogy a cégnyilvántartás közhitelességének biztosítása érdekében a cégbíróság intézkedéseivel a cég törvényes működését kikényszerítse.

2024. március 25.

Az EU vizsgálatot indított az Apple, a Google és a Meta ellen

Az Európai Bizottság vizsgálatot indított az Apple, a Google és a Meta ellen, hogy megfeleltek-e a digitális piacokról szóló szabályozásnak (DMA) – jelentette be Margrethe Vestager digitális korra felkészült Európáért felelős uniós biztos hétfőn.

2024. március 25.

Duna House: a tavalyinál 7 százalékkal költöttek többet ingatlanvásárlásra az év elején

Országos átlagban a tavalyinál 7 százalékkal többet, csaknem 43 millió forintot fordítottak otthonteremtésre a vásárlók 2024 elején. Az átlagos négyzetméterárak alapján azonban 30 millió forint is elegendő lehet a vizsgált vármegyeszékhelyeken, akár ház, akár lakás legyen is az ingatlancél – közölte a Duna House ingatlanforgalmazó értékesítési adatai alapján hétfőn.