Yrityskauppa – henkilötietojen luovuttaminen ja huomioiminen due diligence -vaiheessa

Tämä on meidän yrityskauppaprosessiin liittyvän artikkelisarjamme toinen osa. Ensimmäisessä osassa käsiteltiin yrityskauppaa yleisesti, ja myöhemmissä osissa yrityskauppaa käsitellään tarkemmin tietystä näkökulmasta.

Artikkelisarjamme toisessa osassa käsitellään henkilötietojen suojaamista yrityskaupan due diligence -vaiheessa. Aihe valikoitui, koska  due diligence -vaiheessa joudutaan käytännössä aina miettimään henkilötietojen luovuttamista kaupan toiselle osapuolelle, sillä henkilötiedoilla voi olla isokin merkitys kaupan synnylle. Tällaisia henkilötietoja ovat esimerkiksi asiakkaiden ja työntekijöiden henkilötiedot.

Kun henkilötietojen luovuttamista mietitään due diligence -vaiheessa, on kuitenkin huomioitava tietosuojalainsäädäntö, joka asettaa henkilötietojen luovuttamiselle tiettyjä rajoitteita.

Millä perusteella henkilötietoja voidaan käsitellä?

Tietosuoja-asetuksen 6 artiklan mukaan henkilötietoja saa käsitellä vain, jos käsittelylle on vähintään yksi seuraavista lainmukaisista perusteista:

– rekisteröidyn antama suostumus

– sopimus, jossa rekisteröity on osapuolena

– rekisterinpitäjän lakisääteinen velvoite

– rekisteröidyn tai toisen luonnollinen henkilön (ihminen) elintärkeä etu

– yleinen etu

– rekisterinpitäjän tai kolmannen oikeutettu etu

Koska henkilötietojen käsittelylle tarvitaan aina jokin yllä listatuista lainmukaisista käsittelyperusteista, on myös yrityskaupoissa oltava henkilötietojen käsittelylle lainmukainen käsittelyperuste. Käytännössä siis, kun yrityskauppatilanteessa ollaan luovuttamassa henkilötietoja yrityskaupan toiselle osapuolelle, tulee toisella osapuolella olla lainmukainen käsittelyperuste henkilötietojen käsittelylle.

Miten henkilötietojen käsittelyperuste valitaan, ja kuka päättää, onko henkilötietojen käsittelyperuste lainmukaisesti valittu?

Käytännössä rekisterinpitäjänä toimiva yritys päättää itse, mitä henkilötietojen käsittelyperustetta se missäkin henkilötietojen käsittelyssä soveltaa. Huomattakoon kuitenkin, että valinta voi myöhemmin osoittautua lainvastaiseksi, jos valinta ei tosiasiassa sovellu käsillä olevaan henkilötietojen käsittelyyn. Esimerkiksi työnantaja ei voi käsitellä työntekijöiden työsuhdetta koskevia perushenkilötietoja rekisteröidyn antaman suostumuksen turvin, vaan käsittelyperusteeksi on valittava (työ)sopimus, jossa rekisteröity on osapuolena.

Viranomaiset päättävät, onko henkilötietojen käsittelyperuste valittu lainmukaisesti. Mikäli henkilötietoja käsitellään väärällä käsittelyperusteella, viranomaiset voivat muun muassa asettaa rekisterinpitäjälle hallinnollisia sanktioita. Tietosuojarikkeet synnyttävät myös herkästi mainehaittaa rekisterinpitäjälle.

Käsittelyperusteen valinnassa on siis oltava todella tarkka.

Mikä henkilötietojen käsittelyperuste soveltuu yrityskaupan due diligence -vaiheeseen?

Due diligence -vaiheessa oikeastaan ainut varteenotettava käsittelyperuste on rekisteröidyn antama suostumus, sillä mikään muu peruste ei voi tulla lainmukaisesti sovellettavaksi. Tällöinkin on tosin huomattava tietosuoja-asetuksen suostumukselle asettamat tiukat kriteerit, minkä takia suostumuksen käyttäminen käsittelyperusteena on hyvin herkästi lain vastaista. Lisäksi on huomattava, että harvemmin syntyy sellaista mahdollisuutta, jossa yrityskaupan osapuolet voisivat due diligence -vaiheessa tiedustella rekisteröityjen suostumuksen perään, sillä due diligence -vaihe on käytännössä aina luottamuksellinen.

Selvyyden vuoksi myös todetaan, että vaikka voisi herkästi kuvitella, että rekisterinpitäjän tai kolmannen oikeutettu etu voisi myös toimia käsittelyperusteena due diligence -vaiheessa, oikeuskäytännön ja oikeuslähteiden perusteella on selvää, ettei oikeutettua etua voi yrityskaupassa käyttää käsittelyperusteena. Tämä johtuu siitä, että yrityskauppatilanteessa rekisteröidyn edut ja perusoikeudet- sekä vapaudet syrjäyttävät yrityskaupan osapuolen oikeutetun edun.

Todettakoon vielä, että due diligence -vaiheen ja yrityskaupan solmimisen jälkeen henkilötiedot voidaan luonnollisesti luovuttaa kaupan toiselle osapuolelle.

Lopuksi tietosuojasta due diligencen yhtenä osa-alueena

Tietosuoja on nykyään merkittävä oikeudenala, joka tulee myös huomioida due diligencessä omana osa-alueenaan. Tietosuojan due diligencessä on syytä kiinnittää huomiota muun muassa yrityksen:

– tietosuojadokumentaatioon (esimerkiksi tietosuojailmoitukset, selosteet ja sisäiset käytänteet),

– tietosuojan näkyvyyteen (ovatko tietosuojailmoitukset asianmukaisesti näkyvillä ja saatavilla)

– tietosuojan huomioimiseen sopimussuhteissa,

– tietosuojakoulutuksiin, ja

– osoitusvelvollisuuden toteuttamiseen.

Kuten huomataan, tietosuoja ei tarkoita ainoastaan tietosuojailmoitusta yrityksen kotisivuilla. Lainmukaisesti toteutettuun tietosuojaan kuuluu monia eri osa-alueita, joista jokainen tulisi huomioida due diligence -vaiheessa. Riittämätön tietosuoja on yrityskaupassa riski muiden joukossa, joten sen huomioimiseen tulisi myös kiinnittää asianmukaisesti huomiota.

Olemme asiakkaidemme asiantunteva kumppani yrityskaupoissa, ja avustamme asiakkaitamme säännöllisesti due diligencen toteuttamisessa. Avullamme varmistat, että myös teidän yrityskauppanne saadaan menestyksekkäästi riskit minimoiden maaliin!

18.09.2019 MAX