Cég adásvétele: adatvédelmi bírságot kockáztat, aki nem végzi el a GDPR-átvilágítást

Megosztás Tetszik

A tavalyi évben a pandémia ellenére is több mint 36 ezer vállalat tulajdonosi körében következett be változás. Az OPTEN számai azt jelzik, hogy tavaly csaknem minden harmadik tulajdonosváltozás az adott társaság teljes tulajdonosi szerkezetének kicserélődésével járt, ez egy évvel korábban minden negyedik esetében volt elmondható. Az adásvételt megelőző jogi átvilágítás során kiemelt figyelmet kell fordítani az adatvédelemre is. Ha ez elmarad, annak nagyon komoly adatvédelmi bírság lehet a vége – mutat rá az act Bán és Karika Ügyvédi Társulás.

Beigazolódtak azok a prognózisok, amelyek szerint a koronavírus a vállalatfelvásárlások, és adásvételek terén is változásokat hoz. A céginformációs szolgáltató, az OPTEN gyűjtése alapján 2019-ről 2020-ra azoknak a hazai társaságoknak a száma, ahol a tulajdonosi szerkezetben valamilyen változás történt (ideértve az öröklést, ajándékozást és a felvásárlást is) 51 646-ről 36 301-re csökkent. Ezzel szemben csupán 12 230-ról 11 447-re mérséklődött azon vállalatok köre, ahol a tulajdonosok teljesen lecserélődtek. Az adatok azon cégekre vonatkoznak, ahol a tulajdonosok egyértelműen beazonosíthatóak. Ez azt jelenti, hogy a külföldi tulajdonossal rendelkező vállalatok nem szerepelnek ebben a gyűjtésben.  

Eszerint 2020-ban csaknem minden harmadik tulajdonosváltozás az adott cég tulajdonosi szerkezetének teljes átalakulásával járt, míg 2019-ben ez csupán minden negyedik esetében volt elmondható. A számokból az is kiderül, hogy mindkét említett évben a legtöbb tulajdonosváltás a kereskedelemi profilú társaságok körében történt.  

A vállalatok adásvételekor is kiemelt figyelmet kell fordítani az adatvédelemre. A társaságok megvásárlása kapcsán elvégzett jogi átvilágításnak két adatvédelmi aspektusa van.  Egyrészt, a folyamat során átadott személyes adatok kezelésének meg kell felelnie a GDPR és az információs önrendelkezési jogról és az információszabadságról szóló törvény előírásainak. Másrészt a potenciális vásárlónak át kell tekintenie, hogy a felvásárlás tárgyát képező cég adatvédelmi gyakorlatai mennyiben felelnek meg az adatvédelmi szabályoknak, hiszen a későbbiekben ő vállalja magára az adatvédelmi jogsértések kockázatát.  Ha ez a vizsgálat elmarad, vagy a felek nem megfelelően kezelik az átvilágítás során átadott személyes adatokat, annak nagyon komoly adatvédelmi bírság lehet a vége – hívja fel a figyelmet dr. Markóczy Réka, az act Bán és Karika Ügyvédi Társulás szakértője.   

Így járt néhány éve a Marriott szállodalánc is, amely 2018-ban felvásárolta a Starwood Hotels Inc.-t. Az azonban csak később bukott ki, hogy a Starwood Hotels-t 2014-ben kibertámadás érte, amit nem tártak fel a tranzakciót megelőző jogi átvilágítás során. Az ügy hosszú ideig húzódott, amelynek egyes szakaszaiban hatalmas, 100 millió fontos (közel 43 milliárd forint) bírság kiszabását kérték a Marriottra. 

A vevőnek a felvásárolandó társaságban rejlő adatvédelmi kockázatok felmérése érdekében az átvilágítás keretében meg kell vizsgálni a társaság adatkezelési folyamatait és az ehhez kapcsolódó dokumentumokat, mind a munkavállalók, mind harmadik személyek (többek között az ügyfelek, a beszállítók vagy a partnerek kapcsolattartói) adatainak kezelésével kapcsolatban. A kiszemelt cég folyamataiban rejlő adatvédelmi kockázatok felismerése és megfelelő kezelése elengedhetetlen ahhoz, hogy a tranzakció lezárását követően ne érjék meglepetések az új tulajdonost. Ha a felülvizsgálat során kiderül, hogy a megvásárolt vállalkozás adatvédelmi gyakorlatai nem felelnek meg a jogszabályi előírásoknak és emiatt hátrány éri a társaságot, az új tulajdonos a régivel szemben érvényesítheti a szavatossági igényeit, ha ezeket a felek korábban megfelelően szabályozták egymás között – mutat rá a jogász. 

Az eladónak az átvilágításhoz szükséges adatszoba kialakítása kapcsán kell kiemelt figyelmet fordítania arra, hogy a vevő által megismerhető személyes adatok körét – a GDPR adattakarékossági elvét szem előtt tartva – a feltétlenül szükséges adatokra korlátozza. Ennek egyik megoldása lehet, hogy a munkaszerződésekből kitakarják azon információkat, amelyek nem feltétlenül szükségesek ahhoz, hogy a vevő felmérje a szerződésekben rejlő kockázatokat. Természetesen a tranzakció lezárását követően az új tulajdonos, mint a régi tulajdonos jogutódja megismerheti a társaság által kezelt személyes adatok teljes körét.