Tietosuoja ja due diligence -tarkastukset - Mitä ottaa huomioon?
Yrityksen suorittama henkilötietojen käsittely on olennainen osa sen toimintaa. Tietosuojaan ja tietoturvaan liittyvät riskit yrityskauppojen yhteydessä ovat tulleet kaikille selviksi viimeistään Vastaamo-tapauksen myötä. Liiketaloudellisten seuraamusten ja mainehaitan lisäksi due diligencen laiminlyönti voi olla peruste kansallisen valvontaviranomaisen määräämälle hallinnolliselle seuraamusmaksulle, mikäli ostajana toiminut rekisterinpitäjä ei kykene osoittamaan henkilötietojen käsittelyn ja suojaamisen lainmukaisuutta.
Sen lisäksi, että kohdeyhtiön tietosuojan taso tulee arvioida omana osa-alueenaan due diligence -tarkastuksessa, on osapuolten varmistettava, että tietosuojavelvoitteita noudatetaan myös itse yrityskauppa- ja due diligence -prosesseissa.
Alustavat keskustelut
Yrityskaupan mahdollisuutta harkittaessa osapuolet laativat tavanomaisesti keskinäisen salassapitosopimuksen muun muassa liike- ja yrityssalaisuuksien suojaamiseksi. Salassapitosopimuksessa tulee huomioida myös ne mahdolliset henkilötiedot, joiden käsittelyä yrityskauppa- ja due diligence -prosessit voivat edellyttää.
Osapuolten on tarvittaessa lisäksi huolehdittava asianmukaisten sopimusten laatimisesta myös virtuaalisen datahuonepalveluntarjoajan kanssa. Sopimuksin on varmistuttava esimerkiksi käytettävän datahuonepalvelun tietoturvasta sekä tietojen palauttamisesta tai tuhoamisesta käsittelytarpeen päättymisen jälkeen.
Due diligence -tarkastuksen suorittaminen
Suoritettavan due diligence -tarkastuksen laajuus ja kohdentaminen ovat toimiala- ja organisaatiokohtaisia kysymyksiä. Erityisellä tarkkuudella due diligence -tarkastukset tulisi suorittaa esimerkiksi HR-palveluja tai terveydenhuollon palveluja tarjoavien yritysten kohdalla. Yleistäen voidaan kuitenkin sanoa, että lähtökohtaisesti kaikki yritykset käsittelevät työntekijöidensä, asiakkaiden ja/tai kuluttajien henkilötietoja. Siksi ostajan tulee aina tietää, miten näitä tietoja on kohdeyhtiössä kerätty, käsitelty ja suojeltu.
Due diligence -aineistoa kootessa osapuolten on varmistettava, että aineiston sisältämiä henkilötietoja ei käsitellä ilman tietosuoja-asetuksessa määriteltyä lainmukaista perustetta. Peruste on valittava tarkoin, sillä esimerkiksi rekisteröidyn suostumus ei yrityskauppaneuvottelujen luottamuksellisuuden johdosta ole tarkoituksenmukainen. Perusteesta riippumatta henkilötietojen määrä on minimoitava esimerkiksi mustaamalla dokumentteihin sisältyvät henkilötiedot taikka toimittamalla sopimuksista mallipohjat varsinaisten, henkilötietoja sisältävien sopimusten sijasta. Erityistä huomiota on kiinnitettävä mahdollisten erityisten henkilötietoryhmien, kuten terveyttä koskevien tietojen suojaamiseen.
Varsinaisessa due diligence -tarkastuksessa perehdytään esimerkiksi seuraaviin seikkoihin:
- Onko kohdeyhtiö noudattanut rekisterinpitäjän osoitusvelvollisuutta: onko yhtiöllä olemassa kaikki lakisääteinen dokumentaatio, ja vastaako dokumentaatio tosiasiallisesti suoritettua henkilötietojen käsittelyä? Onko esimerkiksi henkilötietojen käsittelyperuste ja tietosuojaperiaatteiden sisäänrakennettu toteutuminen kuvattu ja perusteltu asianmukaisesti? Keskeistä on myös se, onko kohdeyhtiön suorittama henkilötietojen käsittely helposti hahmotettavissa ja ymmärrettävissä laaditun dokumentaation perusteella. Ilman kattavaa käsitystä suoritetusta käsittelystä ostajayhtiön on käytännössä mahdotonta suoriutua tulevista tietosuojavelvoitteistaan.
- Millaiset tietoturvajärjestelmät kohdeyhtiössä on, miten tietoturvakäytänteet on jalkautettu ja miten niiden noudattamista valvotaan? Miten mahdolliset tietoturvaloukkaukset on dokumentoitu, ja millaisiin toimenpiteisiin kohdeyhtiössä on ryhdytty loukkauksen uusiutumisen estämiseksi? Dokumentoitujen loukkaustilanteiden puuttuminen ei välttämättä ole hyvä merkki, sillä se voi tarkoittaa myös sitä, ettei yrityksessä ole osattu havaita loukkaus- tai muita poikkeamatilanteita.
- Onko henkilötietojen siirto EU:n ja ETA-alueen ulkopuolelle toteutettu tietosuojalainsäädännön mukaisesti ja asianmukaisesti dokumentoiden? Huomioi, että myös esimerkiksi pilvipalvelun käyttäminen henkilötietojen käsittelyssä voi tarkoittaa henkilötietojen siirtoa näihin ns. kolmansiin maihin.
Kauppakirjaneuvottelut
Due diligence -vaiheen päätyttyä voidaan siirtyä kauppakirjaneuvotteluihin. Ostajatahon riskin hallitsemiseksi due diligence -löydökset voidaan neuvotteluvaiheessa huomioida esimerkiksi seuraavasti:
- Kohdeyhtiö velvoitetaan suorittamaan toimenpiteitä due diligence -tarkastuksessa havaittujen laiminlyöntien korjaamiseksi ennen kaupan toteutumista tai sen jälkeen;
- Kauppakirjassa sovitaan myyjän vakuutuksista sen suorittamaan henkilötietojen käsittelyyn ja rekisteröityjen mahdollisiin vaatimuksiin liittyen;
- Kauppahintaa tarkistetaan havaittujen laiminlyöntien johdosta.
Kaupasta sopiminen ja kaupan toteutuminen
Mikäli kauppa sisältää kohdeyhtiön harjoittaman liiketoiminnan tai sen osan, on osapuolten kauppakirjan allekirjoittamisen ja kaupan toteutumisen välisenä aikana valmisteltava rekisterinpitäjyyden siirtyminen kohdeyhtiöltä ostajayhtiölle kauppaan sisältyvien henkilötietojen osalta. Mikäli ostaja ei kaupan myötä saa toimivaltaa määritellä henkilötietojen käsittelyn tarkoituksia ja keinoja, ei myöskään rekisterinpitäjyys siirry. Siirtymän suunnitelma ja toteutustapa on hyvä kirjata kauppakirjaan tai sen liitteeksi.
Yrityskaupan myötä ostajayhtiölle siirtyvät uudet henkilötietoryhmät ja käsittelytarkoitukset edellyttävät muutoksia myös ostajayhtiön tietosuojadokumentaatioon. Ostajayhtiön tulee esimerkiksi dokumentoida siirtyvien henkilötietojen laillinen käsittelyperuste sekä huolehtia rekisteröityjen informoinnista.
Mikäli due diligence -tarkastuksen toteuttamiseen tai tietosuojaan liittyen herää kysymyksiä, asiantuntijamme auttavat mielellään.
Kirjoittaja:
Lakimies
anni.halinen@leckle.fi