Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A szerző az alábbi cikkében a cégátvilágítás, az úgynevezett „due diligence”-eljárás során felmerülő adatvédelmi problémákat veszi górcső alá.
Aki már értékesített céget, tudja, hogy az átruházást, a végleges megállapodást sokszor megelőzi a társaság könyveinek, adatainak, iratanyagának a vevő szakemberei által történő vizsgálata. Ez több szakirányból is megvalósulhat, mert itt gondolnunk kell a számviteli, az adózási, a jogi, de a cég működési területéhez kapcsolódó speciális, akár a műszaki folyamatokra is irányuló átvilágításra. Erre a monitoring-folyamatra használják a „due diligence” kifejezést az e területen tevékenykedők terminológiájában.
Az átvilágítás során eljáró szakembereknek a számviteli, az adózási, a jogi, a műszaki előírások mellett már gondolniuk kell az adatvédelem követelményeire is e munka során. A due diligence jellemzően megkívánja, hogy az átvilágítók a céltársaság adatbázisaiban fellelhető személyes adatok kezelését is górcső alá vegyék. Ilyen adat pedig szép számmal akad általában a gazdasági társaságok adatvagyonában.
Melyek is jellemzően ezek? Ide sorolhatóak (i) az üzleti partnerek természetes személy kapcsolattartóinak, (ii) a természetes személy ügyfeleknek, (iii) a természetes személy üzleti partnereknek, valamint (iv) a munkavállalóknak a személyes adatai.
E személyes adatoknak minden esetben a gazdasági tevékenységhez kötődő konkrét célhoz, jogalaphoz kötött a cég által történő adatkezelése, és erről szabályzatok, érdekmérlegelési tesztek, tájékoztatók rendelkeznek. A tapasztalataink szerint ezekben a dokumentációkban azonban jellemzően soha nem szerepel, hogy a személyes adatokat a gazdasági vállalkozások egy due diligence során harmadik személy részére felfedje, továbbítsa.
Ez a harmadik személy pedig időnként egy versenytárs, de mindenképpen egy olyan új szereplő, akiről az adat érintettje nem tudhatott, amikor a személyes adatainak az eredeti cég számára történő átadásáról döntött. Ilyen adatkezelési célt, az ehhez kapcsolódó jogalapot az adatkezelők előzetesen nem szoktak meghatározni és szabályozni.
Az EU Általános Adatvédelmi Rendelete (GDPR) pedig feltétlenül elvárja, hogy minden adatkezelés tekintetében körültekintően járjanak el az adatkezelők, és betartsák a megfelelő előírásokat.
Ezért az átvilágítás előtt mindenképpen meg kell határozni az új adatvédelmi célokat, folyamatokat, jogalapokat és a megfelelő adatkezelési módszereket, szem előtt tartva többek között az adatminimalizálás és az elszámoltathatóság elvét.
A due diligence adatkezelésében új adatkezelők és új adatfeldolgozók jelennek meg. Valamennyiüknek el kell végezni az adatok kapcsán a saját előzetes elemzésüket, és definiálniuk kell a céljaikat, a kezelt adatok körét, az adatkezelés menetét, eszközeit. Új adatkezelő lehet akár a cég tulajdonosa, mivel az ő érdeke a cégeladás okán az egyes adatok új irányú kezelése, továbbítása a vevő, mint új adatkezelő, vagy annak adatfeldolgozója részére.
A jogi átvilágítás előkészítése, folyamata a vizsgált céltársaság személyes adatkezelésének új céljait és az adatvédelmi gondolkodás új aspektusát generálja. Ez céljában, jogalapjában eltér a normál, az addigi rendes gazdasági működéshez kapcsolódó adatkezeléstől, és ezek újragondolását, szabályozását igényli.
Ebben a tervezési folyamatban jellemzően felmerül, hogy az adatkezeléssel érintetteket értesíteni kell az új adatkezelési célról, az adattovábbításról. Ez az értesítési kötelezettség gyakran ellentétes a tervezett cégátvétel nyilvánosságra hozatala vonatkozásában a tranzakció szereplőinek üzleti céljaival. Ez oda vezet, hogy a due diligence során a vevő által megismerhető konkrét személyes adatokat körét inkább a lehető legkisebb mennyiségre csökkentik, hogy e tájékoztatási kötelezettségek felmerülését elkerüljék, mivel hátrányos lehet, ha a cégfelvásárlás terve idő előtt, akár az üzleti partnerek, akár a munkavállalók vagy az ügyfélkör tudomására jut.
Az átvilágítás technikai eszközeit is jól meg kell választani, mivel az adatkezelőnek az adatbiztonságra itt is kiemelt figyelmet kell fordítania. Nem kerülhet olyan helyzetbe, hogy a normál működés során egyébként megfelelő biztonsággal kezelt adatok az átvilágítás alatt egy rosszul megválasztott módszer, technológia miatt nyilvánosságra kerülnek.
Különös óvatossággal kell eljárni akkor, ha a cégfelvásárlásra egy versenytárs jelentkezett, hiszen az átvilágítás alatt számos érzékeny adathoz férhet hozzá, és ha a cégfelvásárlás nem jön létre, akkor ezek az átadott információk már kétséges, hogy teljes egészében töröltethetőek lesznek a konkurensnél.
Ezért érdemes már a jogi átvilágításról szóló tárgyalások megkezdésekor adatvédelmi szakembert bevonni a tárgyalásokba.
A cikk szerzője dr. Zalavári György senior partner ügyvéd. Az Ecovis Hungary Legal a Jogászvilág.hu szakmai partnere.
