Din acest motiv, protectia datelor a devenit un pilon central in procedurile de due diligence. Cu toate acestea, este deseori omis faptul ca insasi procedura de due diligence si, respectiv, punerea la dispozitie a datelor personale constituie o prelucrare a datelor cu caracter personal.


Ce date personale pot fi prelucrate in cursul unei proceduri de due diligence?

Cand prelucreaza date cu caracter personal, vanzatorul trebuie sa aiba in vedere, pe langa principiul legalitatii prelucrarii, atat principiul minimizarii datelor personale, cat si principiul limitarii scopului prelucrarii. Acest lucru inseamna ca vanzatorul poate pune la dispozitia cumparatorului doar acele tipuri de date care sunt strict necesare pentru atingerea scopului urmarit. Pentru a stabili care sunt tipurile de date necesare pentru atingerea scopului urmarit, trebuie realizata o evaluare de la caz la caz in raport cu scopul urmarit. In cele mai multe cazuri, insa, efortul si costurile pe care o astfel de analiza le-ar implica determina vanzatorii sa prefere sa furnizeze cumparatorilor documentele in starea in care acestea se afla, indiferent daca respectivele documente contin sau nu date sensibile.

Trebuie avut in vedere ca si in cazul in care intre vanzator si cumparator a fost incheiat un acord de confidentialitate, care reprezinta un mijloc adecvat si recomandat de protectie a informatiilor divulgate, acesta nu este o garantie a conformitatii cu RGPD, intrucat insasi divulgarea este considerata o prelucrare, iar operatiunile de prelucrare se fac doar in conditiile impuse de RGPD.

Divulgarea datelor personale ale angajatilor catre cumparatori

In cazul procedurilor de due diligence, interesul comercial al cumparatorului nu justifica divulgarea automata a datelor personale ale angajatilor (sau cel putin nu a tuturor angajatilor). In principiu, numele, prenumele precum si orice date personale cu privire la acestia nu trebuie divulgate cumparatorilor, intrucat nu au absolut niciun impact cu privire la analiza contractelor individuale de munca. In aceste cazuri, este recomandabil sa fie transmise cumparatorilor doar modele de contracte individuale de munca. De asemenea, este posibila si furnizarea de date statistice (ca de exemplu numarul total de angajati pe un post, intr-o locatie, costurile totale cu salariul, costurile individuale coroborate cu postul specific etc. reprezinta o optiune concordanta cu conditiile impuse de RGPD); totusi acestea nu trebuie sa permita identificarea unei anumite persoane.

In cazul unor angajati cheie ai societatii care au influenta asupra activitatii operationale sau decizionale ale acesteia, divulgarea identitatii poate fi necesara pentru ca potentialul cumparator sa ia o decizie in cunostinta de cauza cu privire la achizitie (de exemplu, se stie ca angajatul X este indispensabil afacerii datorita cunostintelor pe care acesta le are, insa se va pensiona curand). Chiar si in acest caz nu pot fi colectate mai multe date personale decat sunt strict necesare in vederea atingerii scopului urmarit. Astfel, daca numele prenumele si eventual numarul de telefon al persoanei respective ar putea fi necesare pentru cumparator, contul bancar sau date medicale ale acesteia ar excede scopului urmarit.

Categorii speciale de date personale

Tranzactiile in sectorul medical reprezinta un teritoriu cu risc semnificativ avand in vedere ca in acest caz se prelucreaza categorii speciale de date personale (date privind sanatatea, date genetice etc.). Avand in vedere valoarea semnificativa a sistemelor de prelucrare de date implementate in domeniul medical, in cele mai multe cazuri, testarea acestora de catre cumparator va fi o conditie indispensabila incheierii tranzactiei. Acelasi lucru este valabil si in cazul societatilor specializate pe maparea genomului uman, testarea metodelor si a tehnologiilor dezvoltate fiind necesare anterior achizitiei, deoarece reprezinta elementul central al societatii achizitionate.

Citeste si:

In aceste cazuri, accesul cumparatorului la sistemele de prelucrare se justifica prin prisma intereselor comerciale ale acestuia, insa nu este vorba de un acces neingradit. Este recomandabil ca testarea sistemelor sa se faca fara folosirea unor date personale reale. In practica insa, generarea unei baze de date artificiale presupune o crestere a costurilor pentru vanzator, pe care acestia nu sunt dispusi sa le suporte.

Categoriile speciale de date personale care nu sunt furnizate de catre vanzator in mod direct cumparatorului pot ridica probleme. De pilda, din regimul fiscal aplicat de societate reiese ca exista persoane cu dizabilitati angajate pe anumite posturi sau numele angajatilor poate fi preluat de pe portalul instantelor de judecata etc. Insa, atata timp cat datele personale respective sunt publice sau deriva din documente publice, nu exista nicio obligatie in sarcina vanzatorului cu privire la acestea.

Obligatiile vanzatorului

Asigurarea trasabilitatii datelor

In cursul unei proceduri de due diligence, este esential ca vanzatorul sa aiba pusa la punct o procedura detaliata cu privire la conditiile si modul de prelucrare a datelor cu caracter personal, inclusiv cu privire la divulgarea acestora unor potentiali cumparatori. Printr-o astfel de procedura se asigura echilibrul intre interesele legitime ale partilor si drepturile fundamentale ale persoanelor vizate, conditie impusa de RGPD. Mai mult, orice tip de prelucrare va trebui inregistrat de catre vanzator in registrul de prelucrari, pentru a se asigura astfel trasabilitatea datelor, aceasta fiind o alta cerinta introdusa de RGPD.

In masura in care vanzatorul decide angajarea unor consultanti pentru realizarea tranzactiei (acestia avand calitatea de persoane imputernicite), acesta va recurge doar la persoane imputernicite care ofera garantii suficiente pentru punerea in aplicare a unor masuri tehnice si organizatorice adecvate pentru respectarea RGPD si a drepturilor persoanelor vizate. Conditiile de prelucrare se vor stabili, in principiu, printr-un contract incheiat intre vanzator si persoana imputernicita.

Anonimizarea documentelor

Documentele confidentiale sunt furnizate de catre vanzator prin intermediul unei camere de date virtuale securizate si pot fi consultate doar de persoanele cu drept de acces la acea camera de date, fara sa poata fi descarcate local sau copiate. In vederea garantarii unui nivel de protectie adecvat pentru persoanele vizate, este recomandabila includerea unei politici de confidentialitate in cuprinsul regulilor aplicabile camerei de date, politica la care vor adera toate persoanele care au acces la respectiva camera de date. Mai mult, in cazul in care se divulga unele categorii speciale de date, numarul persoanelor care au acces la acestea trebuie limitat, iar accesul se va acorda numai ulterior semnarii de catre acestea a unui acord de confidentialitate suplimentar, cu privire la datele respective.

In plus, vanzatorul este obligat sa anonimizeze toate documentele pe care le pune la dispozitia cumparatorilor (cu exceptia cazurilor de mai sus, cand divulgarea este justificata de interesele comerciale ale partilor), astfel incat nicio persoana fizica sa nu poata fi identificata pe baza acestora.
In cazul oricarei tranzactii, vanzatorul va trebui sa se asigure ca furnizarea datelor personale se face intr-un mod care confera un nivel adecvat de protectie pentru persoanele vizate. Astfel, conform dispozitiilor RGPD, operatorul de date este obligat sa informeze persoanele vizate, in mod detaliat, corect si complet, cu privire la scopul prelucrarii cat si cu privire la persoanele catre care acestea au fost divulgate. Aceste obligatii ridica probleme practice semnificative, in special din perspectiva confidentialitatii tranzactiei, cu atat mai mult cu cat informarea persoanei vizate nu poate fi conditionata de semnarea unui acord de confidentialitate de catre aceasta. Nerespectarea acestei obligatii va trebui justificata de catre vanzator pe baza unor motive temeinice.

Pentru mai multe informatii:
Radu Zmaranda, avocat bpv Grigorescu Stefanica
radu.zmaranda@bpv-grigorescu.com