Yrityskaupoissa on lähes aina tarpeen käsitellä henkilötietoja. Kohdeyrityksen tietojen luovuttaminen on keskeisessä asemassa, sillä kattava tiedonvaihto kaupan osapuolten välillä palvelee sekä ostjaan että myyjän etuja. Kaupan toteutuminen edellyttää lähtökohtaisesti, että myyjä antaa ostajalle tarvittavat tiedot kohdeyrityksen toiminnasta. On kuitenkin tärkeää arvioida tarkkaan, milloin ja millä perustein henkilötietoja voidaan luovuttaa ostajalle. Yrityskaupan osapuolten on huolehdittava siitä, että tietosuojaa ja henkilötietojen käsittelyä koskevia säännöksiä noudatetaan. Erityisesti myyjän on varmistettava, että työntekijöiden ja asiakkaiden henkilötietoja luovutetaan ostajalle vain voimassa olevan tietosuojalainsäädännön mukaisesti.
Tietosuoja-asiat prosessin alkuvaiheessa
Yrityskauppatilanteessa henkilötietojen käsittelyä tulee sunnitella jo ennen tietojen luovuttamista. Yrityskauppaprosessin alkuvaiheessa osapuolet solmivat tavallisesti salassapitosopimuksen. Liikesalaisuuksien lisäksi salassapitosopimuksessa on tärkeää sopia muiden luottamuksellisten tietojen käsittelystä. Salassapitosopimuksessa tulisi määritellä, miten ja missä muodossa henkilötietoja toimitetaan ostajalle sekä millä aikataululla ja miten luovutetu tiedot tulee palauttaa tai tuhota.
Jos osapuolet käyttävät virtuaalista datahuonepalvelua, on tärkeää sopia myös palveluntarjoajan kanssa salassapidosta, tietoturvasta ja tietojen palautuksesta. EU:n yleinen tietosuoja-asetus (GDPR) velvoittaa rekisterinpitäjää, eli henkilötietojen käsittelystä vastaava tahoa, osoittamaan, että tietosuojaan liittyvät riskit on otettu huomioon ja toimittu asetuksen vaatimusten mukaisesti. Tietosuoja-asioista sopiminen jo salassapitosopimuksessa on yksi tapa, jolla osapuolet voivat osoittaa toimineensa asetuksen vaatimusten mukaisesti.
Henkilötietojen käsittely due diligence –tarkastuksessa
Yrityskaupan keskeisin vaihe tietosuojan näkökulmasta on due diligence –tarkastus, jossa ostajalle luovutetaan laaja määrä tietoa myytävästä yrityksestä tai liiketoiminnasta. Tyypillisesti luovutettavat tiedot sisältävät sopimuksia, henkilöstö- ja asiakastietoja, joiden luovuttamisessa on otttava huomioon tietosuojalainsäädäntö.
Tietosuojasääntelyn pääsääntönä on, että rekisterinpitäjä ei saa luovuttaa henkilötietoja kolmannelle osapuolelle. Näin ollen myyjä ei lähtökohtaisesti saa luovuttaa henkilötietoja ostajalle ennen kaupan toteutumista. EU:n tietosuoja-asetuksessa on kuitenkin määritelty lainmukaisia käsittelyperusteita, joiden nojalla henkilötietoja voidaan luovuttaa. Henkilötietojen käsittelylle on oltava aina vähintään yksi asetuksessa listatuista lain mukaisista käsittelyperusteista:
- rekisteröidyn antama suostumus;
- sopimus, jossa rekisteröity on osapuolena;
- rekisterinpitäjän lakisääteinen velvoite;
- rekisteröidyn tai toisen luonnollinen henkilön (ihminen) elintärkeä etu;
- yleinen etu; tai
- rekisterinpitäjän tai kolmannen oikeutettu etu.
Yrityskaupan due diligence –tarkastuksessa ainoa mahdollisesti soveltuva käsittelyperuste on rekisteröidyn antama suostumus. Tässä vaiheessa suostumuksen pyytäminen on kuitenkin yleensä käytännössä mahdotonta kaupan luottamuksellisuuden vuoksi. Suostumuksen saaminen henkilötietojen käsittelyyn on tyypillisesti mahdollista vain sellaisten avainhenkilöiden kohdalla, jotka ovat tietoisia kaupasta. Tämän vuoksi henkilötietojen luovuttaminen on harvoin sallittua ennen kaupan toteutumista. Julkisesti saatavilla olevat tiedot, kuten kohdeyhtiön johdon henkilötiedot, voidaan luonnollisesti luovuttaa.
Myyjän on syytä miettiä vaihtoehtoja henkilötietojen luovuttamiselle due diligence –tarkastuksessa. Tilannetta yksinkertaistaa se, että ostaja harvoin tarvitsee yksilötason tietoja. Myyjä voi siis anonymisoida kaikki henkilötietoja sisältävät kohdat due diligence –materiaalista. Ostajalle toimitettavista materiaaleista henkilötiedot voi esimerkiksi mustata. Myyjä voi myös toimittaa ostajalle oikeiden työ- ja asiakassopimusten sijasta mallisopimukset. Tiedot voi myös luovuttaa yhteenvetona tai tilastoina siten, ettei niistä voi tunnistaa yksittäisiä henkilöitä.
Tietosuoja due diligence –tarkastuksen kohteena
Due diligence –tarkastuksessa ostaja pyrkii arvioimaan kohdeyhtiön liiketoiminnallisia arvotekijöitä ja riskitekijöitä. Tietosuoja voi olla yksi näistä ostajaa kiinnostavista tekijöistä. Tarkastuksessa ostaja voi haluta kartoittaa, miten kohdeyhtiö huomioi tietosuojavelvoitteet toiminnassaan tai miten kohdeyhtiö on varautunut tietosuojariskeihin. Ostajan intressissä on tietää, miten kohdeyhtiö kerää, säilyttää, käyttää, suojaa ja hävittää henkilötietoja. Kohdeyhtiön hyvin hoidettu tietosuoja on ostajalle arvokas ominaisuus ja myyjälle strateginen etu. Tietosuoja voi myös olla ostajalle merkittävä riskitekijä, jos tietosuojavelvoitteita on kohdeyhtiössä huomioitu puutteellisesti tai laiminlyöty. Tyypillisesti ostaja haluaa huomioida tällaiset tietosuojariskit kauppakirjan ehdoissa. Huomattava tietosuojariski voi myös pahimmillaan estää kaupan toteutumisen.
Tietosuojariskit kauppakirjan ehdoissa
Kohdeyhtiöön liittyvillä tietosuojariskeillä voi olla vaikutus kauppakirjan ehtoihin. Ostaja voi esimerkiksi edellyttää myyjää korjaamaan jonkin tietosuojaan liittyvän riskitekijän ennen kaupan täytäntöönpanoa. Liiketoimintakaupassa ostaja voi vaihtoehtoisesti vaatia, että kaupan ulkopuolelle rajataan se osa liiketoimintaa, johon riskitekijä kohdistuu.
Tietosuojariskejä voidaan hallita kauppakirjassa myyjän antamien vakuutusten avulla. Kauppakirjassa myyjä antaa ostajalle erilaisia vakuutuksia kohdeyhtiöstä ennen kaupantekohetkeä. Myyjän vakuutukset ovat lupauksia ostajalle yhtiön liiketoiminnan nykytilasta. Jos myyjä on vakuuttanut sellaista, mikä osoittautuu myöhemmin virheelliseksi, voi myyjä joutua vahingonkorvausvelvolliseksi ostajalle, kun kaupan kohde ei vastaakaan myyjän antamia vakuutuksia. Lähtökohtaisesti myyjän tavoitteena on rajata riskeihin liittyviä vastuitaan, ja puolestaan ostajan tarkoituksena on minimoida vastuullensa jäävät riskit.
Tavanomainen tietosuojaan liittyvä myyjän vakuutus on se, että yhtiö on noudattanut ja noudattaa tietosuojaa sekä henkilötietojen käsittelyä koskevaa lainsäädäntöä. Tietosuojariskejä koskevan sopimuskohdan sanamuodolla on merkittävä vaikutus vastuunjakoon. Tietosuojariskien vastuunjakoon voidaan myös vaikuttaa muun muassa vastuunrajoituksilla. Kauppakirjassa lähes poikkeuksetta sovitaan myyjän vastuille ajallisia ja rahamääräisistä rajoituksia. Osapuolten on tärkeä kiinnittää huomioita myyjän antamien vakuutusten kattavuuteen tietosuojariskien kohdalla. Vastuunjaon kannalta on merkityksellistä, mikä on myyjän korvausvastuun enimmäismäärä tai milloin ostajan on viimeistään esitettävä korvausvaatimuksensa.
Tietosuoja kaupan toteutumisen jälkeen
Kaupan toteutuessa ostajalle voidaan viimein luovuttaa työntekijöiden ja asiakkaiden henkilötiedot. Kaupan toteuttamistavalla on kuitenkin merkitystä tietosuojan näkökulmasta. Osakekaupassa kohdeyhtiön osakkeiden omistusoikeus siirtyy myyjältä ostajalle, mikä ei itsessään vaikuta kohdeyhtiön oikeudelliseen asemaan itsenäisenä oikeussubjektina. Toisin sanoen henkilötietojen käsittelystä vastuullinen taho ei vaihdu. Tietosuojavelvoitteet ja mahdollisista tietosuojarikkomuksista aiheutuvat vastuut ovat yhä kohdeyhtiön velvoitteita ja vastuita.
Liiketoimintakaupassa siirtyy puolestaan myyjän liiketoiminta tai liiketoiminnan osa, eli liiketoiminnan muodostavat omaisuuserät ja vastuut. Tällöin siirtyvään liiketoimintaan liittyvien henkilötietojen käsittelystä vastaava taho vaihtuu, ja ostajasta tulee kaupassa siirtyneiden henkilötietojen uusi rekisterinpitäjä.
Kaupan toteuttamistavalla on vaikutus siihen, kuka vastaa mahdollisista tietosuojarikkomuksista ja niistä seuraavista vahingonkorvauksista tai seuraamusmaksuista. Erityisen riskialttiita ovat tilanteet, joissa ostajalle paljastuu vasta myöhemmin, että myyjän puolella on tapahtunut tietosuojarikkomus ennen kaupan toteutumista.
Yleinen periaate on, että tietosuojarikkomuksista aiheutuvat vastuut ja seuraamukset kohdistuvat siihen osapuoleen, joka on ollut henkilötietojen käsittelystä vastuussa rikkomuksen tapahtumahetkellä. Osakekaupassa tämä tarkoittaa lähtökohtaisesti sitä, että omistajanvaihdoksesta huolimatta kohdeyhtiö on myös kaupan jälkeen vastuussa rikkomuksista, jotka on tehty ennen osakkeiden omistuksen siirtymistä.
Liiketoimintakaupassa tilanne on toisenlainen. Vastuu kauppaa edeltäneestä tietosuojarikkomuksesta kohdentuu lähtökohtaisesti liiketoiminnan myyvälle yhtiölle. Tietosuojarikkomukset ja niistä aiheutuvien vastuiden kohdentuminen ei kuitenkaan ole yrityskaupoissa yksiselitteistä. Yleisestä pääsäännöstä huolimatta vastuunjaon tulkinta voi vaihdella, mikä tekee tilanteesta usein monimutkaisen. Tästä syystä kaupan osapuolten on tärkeä ennakolta tunnistaa ja hallita mahdolliset tietosuojariskit.
Lopuksi eräissä tapauksissa myyjällä voi olla kaupan jälkeen vielä edelleen pääsy ostajan hallitsemiin henkilötietoihin myös kaupan jälkeen. Tämä voi tapahtua esimerkiksi, jos myyjä tuottaa edelleen palkka- tai henkilöstöhallinnon palveluita kohdeyhtiölle. Tällaiset palvelut jatkuvat usein siirtymäkauden ajan, kunnes ostaja pystyy itse hoitamaan kyseiset palvelut. Tällöin ostajan ja myyjän on syytä sopia tarvittavista järjestelyistä ja henkilötietojen käsittelystä, mikäli myyjälle jää tarve käsitellä henkilötietoja siirtymävaiheen aikana.