Unul dintre aspectele tranzactiilor de M&A care a dobandit o importanta sporita odata cu aplicarea in Romania a Regulamentului general privind protectia datelor (UE) 2016/679 (GDPR), priveste protectia datelor cu caracter personal, mai concret cum poate fi asigurata si implementata respectarea obligatiilor prevazute de GDPR de catre partile implicate intr-o astfel de tranzactie.

Material realizat de Raluca Puscas (foto stanga), Counsel Peli Filip, si Diana Gavra (foto dreapta), Associate Peli Filip.

Acest articol isi propune sa prezinte implicatiile practice ale GDPR cel mai des intalnite in pregatirea tranzactiilor de M&A, cu accent pe transferul datelor in cadrul procesului de due-diligence.

Principalele implicatii pentru vanzator

Acordul de confidentialitate

In cadrul procesului de due-diligence, vanzatorul va trebui sa se asigure ca orice date cu caracter personal ce s-ar putea regasi in documentele puse la dispozitia potentialilor cumparatori sunt protejate si nu vor fi folosite de catre acestia in alte scopuri in afara analizei de due-diligence, implicit ca acordul de confidentialitate incheiat cu fiecare dintre potentialii cumparatori acopera si obligatiile legate de protectia datelor personale. Printre altele, acordul ar trebui sa cuprinda obligatia de a folosi datele personale doar in scopul procesului de due-diligence, in vederea tranzactiei si nu in alte scopuri proprii ale potentialului cumparator, obligatia de a returna sau distruge orice date personale in cazul in care negocierile sunt intrerupte/incetate, obligatia de a asigura securitatea datelor accesate si obligatia de a nu divulga datele in tari din afara Uniunii Europene (UE) sau a Spatiului Economic European (SEE).

Citeste si:
Investitia de milioane de euro pentru cel mai mare port din estul UE
Portul Constanta, cel mai...

Daca potentialul cumparator este situat intr-o tara din afara UE/SEE, aceasta determina o verificare aditionala din partea vanzatorului si poate implica incheierea unor documente suplimentare, pentru a se asigura ca transferul este insotit de garantii adecvate in sensul GDPR. Spre exemplu, o prima verificare ar fi daca tara unde sunt divulgate datele se afla pe lista Comisiei Europene de tari recunoscute ca asigura un nivel adecvat de protectie a datelor cu caracter personal. In cazul unui raspuns afirmativ, nu vor fi necesare formalitati suplimentare din acest punct de vedere. Un alt exemplu: daca potentialul cumparator este situat in SUA, ar trebui verificat daca acesta este parte a Scutului de Confidentialitate UE-SUA (EU-U.S. Privacy Shield). Evolutia acestui mecanism de auto-certificare va trebui urmarita cu atentie, intrucat recent Parlamentul European a solicitat Comisiei Europene (printr-o rezolutie fara caracter obligatoriu), suspendarea sa pana cand SUA va asigura respectarea standardelor UE pentru protectia datelor de catre societatile parte la mecanism. In functie de rezultatul verificarilor efectuate asupra garantiilor ce stau la baza transferului de date, este posibil sa apara necesitatea incheierii cu potentialul cumparator a unor clauze standard de protectie a datelor (conform modelelor adoptate de Comisia Europeana), in plus fata de acordul de confidentialitate.

Impactul nerespectarii obligatiilor referitoare la transferul catre tari terte este cu atat mai important pentru vanzator, intrucat daca acesta nu asigura garantiile pentru protectia datelor, raspunderea si riscul de amenda in baza GDPR va fi suportat de acesta.

Camera de date electronica (VDR) in pregatirea procesului de due-diligence

Ce informatii mai pot fi cuprinse in VDR odata ce GDPR a devenit aplicabil?

Pe scurt, doar cele strict necesar a fi divulgate potentialului cumparator pentru desfasurarea procesului de due-diligence si pentru analiza riscurilor tranzactiei. De la caz la caz, in baza principiului reducerii la minimum a datelor, ar trebui limitat accesul la date sau acestea ar putea fi puse la dispozitie in format confidentializat, cum ar fi in situatia datelor cu caracter personal din contractele de munca (cu exceptia cazurilor cand dezvaluirea acestora este necesara in cadrul procesului de due-diligence, spre exemplu in cazul unor angajati cheie ai vanzatorului), a datelor din autorizatii, permise sau alte documente (in masura in care nu sunt necesare pentru verificarea legalitatii documentului de catre potentialul cumparator) ori a datelor sensibile, precum datele de sanatate sau apartenenta la sindicat a angajatilor. Alte masuri care pot fi luate includ punerea la dispozitie doar a unor modele ale anumitor tipuri de contracte care sunt similare si in care au fost confidentializate datele cu caracter personal sau amanarea divulgarii anumitor date spre finalul procesului, cand se pregatesc semnarea si predarea pachetului final de documente, iar incheierea tranzactiei are un grad mai ridicat de certitudine.

Citeste si:
Amenda GDPR: World Trade Center, sanctionat cu 15.000 de euro
Inca o amenda GDPR: World...

Relatia cu furnizorul extern de servicii de VDR

In general, furnizorul care pune la dispozitie camera de date poate fi considerat ca actioneaza ca persoana imputernicita a vanzatorului, cu care va trebui incheiat un acord de prelucrare a datelor avand continutul reglementat de GDPR, inainte de incarcarea documentelor in VDR. O alta recomandare este ca vanzatorul sa verifice unde sunt situate serverele pe care sunt stocate documentele din VDR, intrucat in cazul in care acestea sunt situate intr-o tara terta, va trebui avuta in vedere asigurarea garantiilor adecvate pentru transferul datelor prezentate mai sus. In plus, vanzatorul ar trebui sa efectueze o verificare preliminara a furnizorilor externi de servicii de VDR, astfel incat sa se asigure ca va utiliza doar serviciile acelor furnizori care ofera garantii suficiente de securitate a datelor.

Temeiul transferului datelor in contextul tranzactiei

Intrucat si transferul datelor personale reprezinta o operatiune de prelucrare in sensul GDPR, vanzatorul va trebui sa identifice temeiul juridic in baza caruia va efectua acest transfer. In general, in acest tip de tranzactii, un consimtamant valabil in sensul GDPR ar putea fi dificil sau chiar imposibil de obtinut si ar prezenta dificultati practice in implementare, in special datorita faptului ca de multe ori existenta intentiei de vanzare si desfasurarea procesului de due-diligence devin publice doar in etapele finale ale tranzactiei. Astfel, consideram ca ar putea fi conturat un interes legitim al vanzatorului pe care sa se intemeieze transferul, daca acesta trece testul de echilibru conform cerintelor GDPR, in sensul ca interesul legitim sa prevaleze asupra intereselor sau drepturilor si libertatilor fundamentale ale persoanelor vizate. Si din acest motiv, este deosebit de importanta luarea unor masuri precum cele exemplificate mai sus, incluzand minimizarea accesului la date, necesitatea prelucrarii doar pentru realizarea scopului propus sau masurile de securitate adoptate.

Citeste si:
Politia SUA a prins mai multi romani decat cubanezi intrati ilegal
Politia de frontiera a SUA a...

Indeplinirea obligatiilor de informare legate de transfer

De multe ori, din motive comerciale, intentia de a face obiectul unui proces de vanzare nu este divulgata de catre societate decat in stadiile finale ale tranzactiei, astfel incat aspectele legate de informarea de catre vanzator a persoanelor vizate ale caror date vor fi transferate in scopul procesului de due-diligence trebuie tratate de la caz la caz. Acestea se afla in stransa legatura cu cele deja mentionate mai sus, o atentie deosebita necesitand analiza categoriilor de persoane vizate, modul cum au fost obtinute datele (direct de la persoana vizata sau din alte surse – putand fi identificate eventual exceptii de la obligatia de informare), natura datelor transferate si in ce masura datele puse la dispozitia potentialilor cumparatori au putut fi confidentializate. In acest sens, este recomandabila includerea initiala in notele de informare pe care vanzatorul le transmite in mod obisnuit diverselor categorii de persoane vizate, a unei mentiuni legate de un potential transfer al datelor in cazul unei tranzactii viitoare.

Implicatii pentru cumparator

Din perspectiva cumparatorului, in decursul procesului de due-diligence, un aspect important este ca acordul de confidentialitate incheiat cu vanzatorul sa cuprinda o declaratie prin care vanzatorul sa confirme faptul ca are dreptul de a divulga datele puse la dispozitie in procesul de due-diligence si ca a indeplinit toate formalitatile cerute de GDPR in acest sens. Daca si cumparatorul, la randul sau, va transmite date catre vanzator, este necesar ca obligatiile sa fie reciproce. De asemenea, cumparatorul trebuie sa implementeze masuri tehnice si organizatorice adecvate pentru a asigura respectarea obligatiilor asumate cu privire la prelucrarea datelor personale in cadrul procesului de due-diligence.

Aspecte suplimentare

Dincolo de aspectul realizarii procesului de due–diligence, odata ce cumparatorul a analizat punctele forte si punctele slabe ale afacerii pe care intentioneaza sa o achizitioneze, un alt aspect important pe care partile trebuie sa il determine este structura pe care o va avea tranzactia. Mai multe detalii despre implicatiile pe care indeplinirea obligatiilor prevazute de GDPR le poate avea in determinarea modului de structurare a tranzactiei vor fi tratate intr-un articol viitor.


Te-ar putea interesa si:


Mai multe articole din sectiunea Legal Business »



Citeste si
A "plouat" cu bani in SUA dupa ce usa unui camion blindat s-a