Część 2a: Należyta staranność w zakresie ochrony danych
Czysta struktura ochrony danych stanowi obecnie istotną wartość dla nabywców spółek w odniesieniu do wyceny spółki, która ma zostać sprzedana w okresie poprzedzającym transakcję fuzji i przejęć. Najpóźniej od wprowadzenia RODO żadna firma nie może uniknąć tematu ochrony danych i wynikających z tego wymogów. Niedociągnięcia w tym obszarze szybko prowadzą do ryzyka prawnego dla kupującego, który może być zmuszony do zainwestowania znacznych środków w celu naprawienia słabości w organizacji ochrony danych spółki docelowej, aby uniknąć miecza Damoklesa w postaci kar urzędowych (do 4% obrotu z poprzedniego roku!). Dlatego też istotne jest, aby nabywca firmy zidentyfikował i, jeśli to konieczne, zmniejszył ryzyko w ramach procesu due diligence. Jeśli zignoruje braki w ochronie danych, istnieje ryzyko, że zostanie pociągnięty do odpowiedzialności po transakcji.
Poniższe wyjaśnienia mają na celu przedstawienie wstępnego przeglądu tematu, aby uwrażliwić czytelników na znaczenie należytej staranności w zakresie ochrony danych. W związku z tym należy pamiętać, że niniejszy artykuł nie dotyczy danych osobowych przetwarzanych w ramach samej transakcji korporacyjnej, np. gromadzenia i przetwarzania danych osobowych dla nabywcy oraz przygotowywania dokumentów w pokoju danych, w tym niezbędnych umów z operatorem pokoju danych. Koncentrujemy się tutaj na należytej staranności w zakresie ryzyka ochrony danych w odniesieniu do spółki docelowej oraz na pytaniu, jakie podejście strukturalne może zastosować kupujący, aby rozpoznać, a tym samym ograniczyć to ryzyko.
Zadawanie właściwych pytań
Najważniejsze jest zadawanie właściwych pytań w ramach procesu due diligence w celu oceny status quo i poziomu ochrony danych w różnych obszarach istotnych z punktu widzenia prawa ochrony danych. W tym celu należy najpierw przeanalizować istniejącą dokumentację. Należy zwrócić uwagę na następujące punkty:
- Koncepcja ochrony i usuwania danych – W szczególności usuwanie danych (np. brak CRM z „starszymi danymi”) musi być odpowiednio wdrożone; koncepcja ochrony danych jest punktem wyjścia i, do pewnego stopnia, centralnym punktem obsługi i organizacji tematu ochrony danych w firmie. Oczywiście procesy zdefiniowane w koncepcji muszą być faktycznie wdrożone, co z kolei jest częścią audytu.
- Katalog przetwarzania (art. 20 RODO) – częste źródło błędów, ponieważ katalog nie istnieje lub jest niekompletny, w wyniku czego firma nie jest nawet świadoma wszystkich operacji przetwarzania istotnych z punktu widzenia prawa ochrony danych.
- Koncepcja naruszenia ochrony danych – dotyczy obsługi incydentów związanych z ochroną danych i dokumentacji wszelkich incydentów związanych z ochroną danych z przeszłości; ostatecznie audyt musi również zapewnić, że firma ma odpowiednie procesy i TOMy, aby można było wykryć naruszenia ochrony danych i umożliwić firmie odpowiednią reakcję.
- Dokumenty dotyczące bezpieczeństwa IT i cyberbezpieczeństwa – np. sprawdzenie, czy istnieje koncepcja bezpieczeństwa danych (środki techniczne i organizacyjne), w tym uznane certyfikaty ISO, jeśli mają zastosowanie.
- Umowy powierzenia przetwarzania danych (art. 28 RODO) – Prawie każda firma angażuje dostawców usług IT, którzy następnie przetwarzają dane osobowe w imieniu firmy docelowej. W tym przypadku ważne jest, aby sprawdzić, czy istnieją odpowiednie umowy, w których usługodawcy gwarantują zgodność z określonymi minimalnymi standardami, a tym samym chronią klienta.
- Dokumenty związane z prawem ochrony danych w związku z HR – również bardzo wrażliwy obszar, począwszy od postępowania z kandydatami i praktyką wdrażania nowych pracowników, a skończywszy na postanowieniach umownych z nimi. Jeśli chodzi o ochronę danych pracowników, należy zawsze zadbać o to, aby obowiązki informacyjne wynikające z art. 13 RODO zostały spełnione, a wszystkie procesy były czyste (istnieją informacje o ochronie danych dotyczące przetwarzania danych pracowników? Koncepcja przetwarzania szczególnych danych osobowych zgodnie z art. 9 RODO? Istnieją umowy o zachowaniu poufności dla pracowników? Dostępna zgoda wizerunkowa, np. na publikację zdjęć na stronie internetowej)?
- Sprawdzenie strony internetowej – w szczególności sprawdzenie, czy oświadczenie o ochronie danych zostało wydane zgodnie z prawem i faktycznie obejmuje całość przetwarzania w związku z wizytą na stronie; sprawdzenie ze względu na baner plików cookie / politykę plików cookie
Powyższe punkty są kluczowymi obszarami związanymi z ochroną danych, a jednocześnie obszarami, w których często występują zaniedbania i braki. W zależności od obszaru biznesowego, w którym działa firma, należy postawić wyższe wymagania dotyczące zgodności z przepisami o ochronie danych. Pierwszym pytaniem, które należy zadać, jest zawsze to, w jaki sposób obowiązki i odpowiedzialność za ochronę danych są zorganizowane w firmie. Ważne jest, aby sprawdzić, czy wyznaczono inspektora ochrony danych, jakie są jego obowiązki i czy został on należycie zarejestrowany w organie nadzorczym. Obowiązek wyznaczenia inspektora ochrony danych należy potwierdzić w zdecydowanej większości przypadków. Istnieje wiele innych punktów, takich jak kontakt z władzami (czy istnieje na to pojęcie?) lub temat przeprowadzania szkoleń pracowników w przeszłości i radzenia sobie z zapytaniami od osób, których dane dotyczą.
Wnioski
Ochrona danych i badanie due diligence są ze sobą powiązane. Przegląd ochrony danych w spółce docelowej jest niezbędny dla kupującego, aby uniknąć podejmowania nieobliczalnego ryzyka, które zwykle materializuje się na jego niekorzyść dopiero po zakończeniu transakcji, np. jeśli produkty i rozwiązania spółki docelowej są zintegrowane, które nie mogą być wprowadzane do obrotu zgodnie z RODO lub mogą być wprowadzane do obrotu dopiero po wprowadzeniu odpowiednich zmian.
Masz pytania dotyczące typowych wyzwań? Skontaktuj się z nami.
Perspektywy
Niniejsza seria artykułów stanowi dla małych i średnich przedsiębiorstw wstępny przewodnik dotyczący organizacji i skutecznego przeprowadzenia procesu transakcyjnego. W tym celu w kolejnych artykułach przedstawimy kluczowe tematy w kontekście transakcji fuzji i przejęć w sposób zwarty i zorientowany na praktykę. W następnym artykule będziemy kontynuować główny temat „Due Diligence”, a moja koleżanka Micaela Schork przedstawi przegląd due diligence IP/IT.
Autor i osoby kontaktowe chętnie odpowiedzą na wszelkie pytania!
Sebastian Keilholz, LL.M.
keilholz@tigges.legal
+49 211 8687 153