Adatvédelmi bírságot kockáztat az, aki nem végzi el a GDPR átvilágítást egy vállalat adásvételekor

Beigazolódtak azok a prognózisok, amelyek szerint a koronavírus a vállalatfelvásárlások, és adásvételek terén is változásokat hoz. A céginformációs szolgáltató, az OPTEN gyűjtése alapján 2019-ről 2020-ra azoknak a hazai társaságoknak a száma, ahol a tulajdonosi szerkezetben valamilyen változás történt (ideértve az öröklést, ajándékozást és a felvásárlást is) 51 646-ről 36 301-re csökkent. Ezzel szemben csupán 12 230-ról 11 447-re mérséklődött azon vállalatok köre, ahol a tulajdonosok teljesen lecserélődtek1. Eszerint 2020-ban csaknem minden harmadik tulajdonosváltozás az adott cég tulajdonosi szerkezetének teljes átalakulásával járt, míg 2019-ben ez csupán minden negyedik esetében volt elmondható. A számokból az is kiderül, hogy mindkét említett évben a legtöbb tulajdonosváltás a kereskedelemi profilú társaságok körében történt.  
 
„A vállalatok adásvételekor is kiemelt figyelmet kell fordítani az adatvédelemre. A társaságok megvásárlása kapcsán elvégzett jogi átvilágításnak két adatvédelmi aspektusa van.  Egyrészt, a folyamat során átadott személyes adatok kezelésének meg kell felelnie a GDPR és az információs önrendelkezési jogról és az információszabadságról szóló törvény előírásainak. Másrészt a potenciális vásárlónak át kell tekintenie, hogy a felvásárlás tárgyát képező cég adatvédelmi gyakorlatai mennyiben felelnek meg az adatvédelmi szabályoknak, hiszen a későbbiekben ő vállalja magára az adatvédelmi jogsértések kockázatát.  Ha ez a vizsgálat elmarad, vagy a felek nem megfelelően kezelik az átvilágítás során átadott személyes adatokat, annak nagyon komoly adatvédelmi bírság lehet a vége” – hívja fel a figyelmet dr. Markóczy Réka, az act Bán és Karika Ügyvédi Társulás szakértője.
   
Így járt néhány éve a Marriott szállodalánc is, amely 2018-ban felvásárolta a Starwood Hotels Inc.-t. Az azonban csak később bukott ki, hogy a Starwood Hotels-t 2014-ben kibertámadás érte, amit nem tártak fel a tranzakciót megelőző jogi átvilágítás során. Az ügy hosszú ideig húzódott, amelynek egyes szakaszaiban hatalmas, 100 millió fontos (közel 43 milliárd forint) bírság kiszabását kérték a Marriottra.
 
A vevőnek a felvásárolandó társaságban rejlő adatvédelmi kockázatok felmérése érdekében az átvilágítás keretében meg kell vizsgálni a társaság adatkezelési folyamatait és az ehhez kapcsolódó dokumentumokat, mind a munkavállalók, mind harmadik személyek (többek között az ügyfelek, a beszállítók vagy a partnerek kapcsolattartói) adatainak kezelésével kapcsolatban. A kiszemelt cég folyamataiban rejlő adatvédelmi kockázatok felismerése és megfelelő kezelése elengedhetetlen ahhoz, hogy a tranzakció lezárását követően ne érjék meglepetések az új tulajdonost. Ha a felülvizsgálat során kiderül, hogy a megvásárolt vállalkozás adatvédelmi gyakorlatai nem felelnek meg a jogszabályi előírásoknak és emiatt hátrány éri a társaságot, az új tulajdonos a régivel szemben érvényesítheti a szavatossági igényeit, ha ezeket a felek korábban megfelelően szabályozták egymás között – mutat rá a jogász.
 
Az eladónak az átvilágításhoz szükséges adatszoba kialakítása kapcsán kell kiemelt figyelmet fordítania arra, hogy a vevő által megismerhető személyes adatok körét – a GDPR adattakarékossági elvét szem előtt tartva – a feltétlenül szükséges adatokra korlátozza. Ennek egyik megoldása lehet, hogy a munkaszerződésekből kitakarják azon információkat, amelyek nem feltétlenül szükségesek ahhoz, hogy a vevő felmérje a szerződésekben rejlő kockázatokat. Természetesen a tranzakció lezárását követően az új tulajdonos, mint a régi tulajdonos jogutódja megismerheti a társaság által kezelt személyes adatok teljes körét.