Cégátvilágítás – A „due diligence” adatvédelmi problémái


A szerző az alábbi cikkében a cégátvilágítás, az úgynevezett „due diligence”-eljárás során felmerülő adatvédelmi problémákat veszi górcső alá.


Aki már értékesített céget, tudja, hogy az átruházást, a végleges megállapodást sokszor megelőzi a társaság könyveinek, adatainak, iratanyagának a vevő szakemberei által történő vizsgálata. Ez több szakirányból is megvalósulhat, mert itt gondolnunk kell a számviteli, az adózási, a jogi, de a cég működési területéhez kapcsolódó speciális, akár a műszaki folyamatokra is irányuló átvilágításra. Erre a monitoring-folyamatra használják a „due diligence” kifejezést az e területen tevékenykedők terminológiájában.

Az átvilágítás során eljáró szakembereknek a számviteli, az adózási, a jogi, a műszaki előírások mellett már gondolniuk kell az adatvédelem követelményeire is e munka során. A due diligence jellemzően megkívánja, hogy az átvilágítók a céltársaság adatbázisaiban fellelhető személyes adatok kezelését is górcső alá vegyék. Ilyen adat pedig szép számmal akad általában a gazdasági társaságok adatvagyonában.

Melyek is jellemzően ezek? Ide sorolhatóak (i) az üzleti partnerek természetes személy kapcsolattartóinak, (ii) a természetes személy ügyfeleknek, (iii) a természetes személy üzleti partnereknek, valamint (iv) a munkavállalóknak a személyes adatai.

E személyes adatoknak minden esetben a gazdasági tevékenységhez kötődő konkrét célhoz, jogalaphoz kötött a cég által történő adatkezelése, és erről szabályzatok, érdekmérlegelési tesztek, tájékoztatók rendelkeznek. A tapasztalataink szerint ezekben a dokumentációkban azonban jellemzően soha nem szerepel, hogy a személyes adatokat a gazdasági vállalkozások egy due diligence során harmadik személy részére felfedje, továbbítsa.

Ez a harmadik személy pedig időnként egy versenytárs, de mindenképpen egy olyan új szereplő, akiről az adat érintettje nem tudhatott, amikor a személyes adatainak az eredeti cég számára történő átadásáról döntött. Ilyen adatkezelési célt, az ehhez kapcsolódó jogalapot az adatkezelők előzetesen nem szoktak meghatározni és szabályozni.

Az EU Általános Adatvédelmi Rendelete (GDPR) pedig feltétlenül elvárja, hogy minden adatkezelés tekintetében körültekintően járjanak el az adatkezelők, és betartsák a megfelelő előírásokat.

Ezért az átvilágítás előtt mindenképpen meg kell határozni az új adatvédelmi célokat, folyamatokat, jogalapokat és a megfelelő adatkezelési módszereket, szem előtt tartva többek között az adatminimalizálás és az elszámoltathatóság elvét.

A due diligence adatkezelésében új adatkezelők és új adatfeldolgozók jelennek meg. Valamennyiüknek el kell végezni az adatok kapcsán a saját előzetes elemzésüket, és definiálniuk kell a céljaikat, a kezelt adatok körét, az adatkezelés menetét, eszközeit. Új adatkezelő lehet akár a cég tulajdonosa, mivel az ő érdeke a cégeladás okán az egyes adatok új irányú kezelése, továbbítása a vevő, mint új adatkezelő, vagy annak adatfeldolgozója részére.

A jogi átvilágítás előkészítése, folyamata a vizsgált céltársaság személyes adatkezelésének új céljait és az adatvédelmi gondolkodás új aspektusát generálja. Ez céljában, jogalapjában eltér a normál, az addigi rendes gazdasági működéshez kapcsolódó adatkezeléstől, és ezek újragondolását, szabályozását igényli.

Ebben a tervezési folyamatban jellemzően felmerül, hogy az adatkezeléssel érintetteket értesíteni kell az új adatkezelési célról, az adattovábbításról. Ez az értesítési kötelezettség gyakran ellentétes a tervezett cégátvétel nyilvánosságra hozatala vonatkozásában a tranzakció szereplőinek üzleti céljaival. Ez oda vezet, hogy a due diligence során a vevő által megismerhető konkrét személyes adatokat körét inkább a lehető legkisebb mennyiségre csökkentik, hogy e tájékoztatási kötelezettségek felmerülését elkerüljék, mivel hátrányos lehet, ha a cégfelvásárlás terve idő előtt, akár az üzleti partnerek, akár a munkavállalók vagy az ügyfélkör tudomására jut.

Az átvilágítás technikai eszközeit is jól meg kell választani, mivel az adatkezelőnek az adatbiztonságra itt is kiemelt figyelmet kell fordítania. Nem kerülhet olyan helyzetbe, hogy a normál működés során egyébként megfelelő biztonsággal kezelt adatok az átvilágítás alatt egy rosszul megválasztott módszer, technológia miatt nyilvánosságra kerülnek.

Különös óvatossággal kell eljárni akkor, ha a cégfelvásárlásra egy versenytárs jelentkezett, hiszen az átvilágítás alatt számos érzékeny adathoz férhet hozzá, és ha a cégfelvásárlás nem jön létre, akkor ezek az átadott információk már kétséges, hogy teljes egészében töröltethetőek lesznek a konkurensnél.

Ezért érdemes már a jogi átvilágításról szóló tárgyalások megkezdésekor adatvédelmi szakembert bevonni a tárgyalásokba.

ECOVIS új logo

A cikk szerzője dr. Zalavári György senior partner ügyvéd. Az Ecovis Hungary Legal a Jogászvilág.hu szakmai partnere.




Kapcsolódó cikkek

2021. december 1.

Akiknek hiányosak lesznek az adatai, tiltólistára kerülhetnek a pénzintézeteknél

A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény értelmében már 2017 óta kötelező a vállalkozásoknak minősített adatokat szolgáltatni magukról, de hamarosan mindenki számára elérhetővé válik a nyilvántartási rendszer, ami hatással lesz a cégek mindennapjaira, olvasható a Jogászvilághoz eljuttatott közleményben. Dr. Tóth Judit Lenke adatvédelmi szakjogász elmondta, azok a tényleges tulajdonosok, akiknek hiányosak lesznek az adatai, tiltólistára kerülhetnek a pénzintézeteknél. Ez azt jelenti, hogy azok a cégvezetők, akik nem tesznek eleget adatszolgáltatási kötelezettségüknek és megbízhatatlan minősítést kapnak, tiltó listára kerülnek az adott pénzintézetnél. Ez azért nagyon aggasztó, mert ebben az esetben a pénzintézet mindaddig megtagadja a 4, 5 millió Ft felett a kifizetéseket, amíg az ügyfél nem kerül át a megbízható kockázati besorolásba. Kiemelte, a módosítás minden olyan területet hatványozottan érint, ahol nagyobb a kockázata annak, hogy legalizálni tudják a fekete pénzeket: példaként említette az ingatlan adás-vétellel foglalkozó cégeket és a generálkivitelezőket is.

2021. december 1.

Sok cégnek talált pénz az EUB döntése, de figyelni kell a jogvesztő határidőkre

Az FGSZ Földgázszállító Zrt. és a NAV Fellebbviteli Igazgatósága közötti ügyben az Európai Unió Bírósága (EUB) döntése új lehetőségeket nyitott meg az elévült behajthatatlan követelések áfájának visszaigénylésére. A számos hazai vállalkozást nem várt bevétellel kecsegtető lehetőségek igénybevételéhez azonban két szoros – december eleji – jogvesztő határidő kapcsolódik, hívja fel az érintett vállalkozások figyelmét a Mazars.