BDAR: ką reikia žinoti prieš įmonės pirkimo–pardavimo sandorį
2019 - 03 - 01
Bet kuri įmonė, įsteigta Europos Sąjungos teritorijoje ar įsteigta už jos už jos ribų, bet tvarkanti Europos Sąjungos piliečių duomenis, yra Bendrojo duomenų apsaugos reglamento (BDAR) numatytų baudų taikinyje, todėl nieko keisto, jog tokių įmonių vertė rinkoje gali ženkliai sumažėti būtent dėl netinkamo BDAR nuostatų įgyvendinimo. Tai reiškia, kad tiek įmonės pirkėjas, tiek pardavėjas prieš įmonės pirkimo–pardavimo sandorį privalo detaliai apsvarstyti visas su asmens duomenų tvarkymu susijusias rizikas, galinčias iš esmės nulemti planuojamo sandorio sėkmę ar išvengti nuostolių ateityje.
Nukenčia net didžiosios kompanijos
Vienas plačiausiai nuskambėjusių atvejų, kuomet netinkamas asmens duomenų tvarkymas nemenkai pakišo koją sandorio baigčiai, įvyko 2017 m. JAV telekomunikacijų milžinei „Verizon“ įsigyjant interneto bendrovę „Yahoo“ ir ją sujungiant su AOL padaliniu. Dar iki sandorio pradžios „Yahoo“ patyrė tris duomenų apsaugos pažeidimų bangas: vieną 2016 metų rugsėjį bei dar dvi tų pačių metų gruodį. Būtent pastarųjų asmens duomenų pažeidimų banga išaiškėjo pačiame derybų dėl „Yahoo“ įsigijimo įkarštyje, tad kompanijoms vėl teko leistis į diskusijas, tirti įvykusių incidentų aplinkybes, vertinti padarytą žalą bei atitinkamai sumažinti sandorio kainą. Po derybų buvo nuspręsta, kad atsakomybę už galimai nutekėjusią vartotojų privačią informaciją lygiomis dalimis prisiims abi kompanijos, o pati sandorio vertė sumažinta net 350 mln. USD. Taigi, tokia netikėta sandorio baigtis pakenkė ne tik interneto sprendimų veteranei „Yahoo“, kuriai teko nusileisti ir padaryti „Verizon“ įspūdingo dydžio nuolaidą, bet ir pačiai „Verizon“, sutikusiai prisiimti gana didelę finansinę riziką tiek dėl jau paaiškėjusių, tiek dėl ateityje galinčių paaiškėti asmens duomenų pažeidimų atvejų.
Šis pavyzdys tik patvirtina, jog verslo subjektams, planuojantiems sudaryti bendrovės pirkimo–pardavimo sandorį, visų pirma, reikia detaliai įsigilinti į visus su asmens duomenų tvarkymų bendrovėje susijusius procesus bei įvertinti jų atitiktį BDAR. Tik tai gali užtikrinti sandorio sėkmę bei apsaugoti nuo milžiniškų BDAR numatytų baudų.
Teisinis įmonės patikrinimas – į ką būtina atkreipti dėmesį?
Praktikoje jau įprasta, jog šalims rodant rimtą abipusį susidomėjimą ir interesą sudaryti bendrovės pirkimo–pardavimo sandorį, pardavėjas atskleidžia visą su tokiu sandoriu susijusią informaciją pirkėjui tam, kad abi šalys tinkamai įvertintų sandorio priimtinumą viena kitai, susipažintų su faktine įmonės situacija ir galutinai apsispręstų dėl sandorio sudarymo bei jo vertės. Būtent toks bendrovės dokumentų ir su ja susijusios informacijos patikrinimas po BDAR įsigaliojimo neabejotinai tapo vienu svarbiausių faktorių, padedančiu nustatyti ar joje laikomasi asmens duomenų apsaugą reglamentuojančių teisės aktų nuostatų.
Žinoma, visų pirma, dar prieš asmens duomenų perdavimą pirkėjui, pardavėjas privalo įvertinti, ar tikrai gali perduoti tokius duomenis, t. y. ar tokiam perdavimui egzistuoja teisinis pagrindas. Dažniausiai toks pagrindas galėtų būti teisėtas pardavėjo interesas, tačiau svarbu nepamiršti įvertinti, ar tikrai visų asmens duomenų perdavimas yra būtinas ir ar toks perdavimas nepažeidžia asmenų, kurių duomenys bus perduodami (pavyzdžiui, darbuotojų), laisvių ir teisių. Jei tik įmanoma, asmens duomenys turėtų būti anonimizuojami ar šifruojami, pavyzdžiui, perduodant darbo sutarties formos pavyzdį jame neturėtų matytis jokių konkretaus darbuotojo asmens duomenų.
Antra, tiek pardavėjas, atskleisdamas asmens duomenis, tiek pirkėjas juos gaudamas turi pasirūpinti, jog toks duomenų judėjimas atitiktų visus BDAR keliamus reikalavimus. Atsižvelgiant į tai, siekiant atlikti įmonės patikrinimą, tarp pirkėjo ir pardavėjo turėtų būti sudaromas konfidencialumo susitarimas. Susitarime turėtų būti griežtai nustatyti ne tik šalių konfidencialumo įsipareigojimai, bet ir tokie aspektai kaip perduodamų asmens duomenų apimtis, taikomos saugumo priemonės, gautų duomenų naikinimo tvarka bei atsakomybės ribos.
Trečia, teisinio patikrinimo rezultatai turėtų atsakyti bent į šiuos klausimus: a) kaip, kokiu pagrindu bei kokia apimtimi tvarkomi asmens duomenys bendrovėje; b) ar yra įdiegtos tinkamos duomenų apsaugos priemonės, priimtos duomenų tvarkymo politikos (įskaitant duomenų apsaugos pažeidimų nustatymo) bei fiksuojami duomenų tvarkymo veiklos įrašai; c) ar bendrovėje paskirtas duomenų apsaugos pareigūnas ar kitas už duomenų apsaugą atsakingas asmuo; d) kam perduodami asmens duomenys bei ar sudaryti susitarimai su visais duomenų gavėjais (duomenų tvarkytojais, duomenų valdytojais); e) ar bendrovėje yra buvę asmens duomenų apsaugos pažeidimų. Visi šie aspektai gali turėti milžinišką įtaką ne tik vertinant galimų asmens duomenų apsaugos pažeidimų riziką, bet ir nustatant papildomų pirkėjo išlaidų ar kitokių nuostolių sumas, galinčias nulemti sandorio vertės sumažėjimą. Pavyzdžiui, galbūt pirkėjui bus aktualus naujienlaiškių siuntimas savo klientams, tačiau to jis daryti negalės, nes pardavėjui tai nebuvo aktualu ir bendrovė apie tai nėra informavusi savo klientų ar, atitinkamai, gavusi jų sutikimų.
Galiausiai, svarbu suvokti, jog net ir atlikus išsamų perkamos bendrovės teisinį patikrinimą, nėra garantijų, jog pirkėjui taps žinoma visa reali įmonės situacija. Tokie patikrinimai dažniausiai atliekami vadovaujantis pardavėjo pateikta informacija, todėl tikėtina, jog svarbi ir įtaką galinti padaryti informacija patikrinimo metu nebus pateikta ir galimai išaiškės tik vėliau. Atsižvelgiant į tai, nereiktų pamiršti ir kitų šaltinių, leidžiančių spręsti dėl įmonės atitikties BDAR. Šiais laikais sunku įsivaizduoti net mažiausią įmonę, kuri nebūtų perkėlusi savo veiklos į interneto svetainę, suteikiančią galimybę pasiekti daugiau klientų, vykdyti užsakymus, o kartu ir rinkti pačius įvairiausius asmens duomenis. Taigi, vienas lengviausių ir mažiausiai finansinių išteklių kainuojantis būdas patikrinti, ar bendrovė laikosi BDAR numatytų reikalavimų – peržiūrėti jos interneto svetainę: ar joje patalpinta privatumo politika, taisyklės ar kitas tokio informacinio pobūdžio dokumentas, koks yra jo turinys; ar naudojamos užklausos, naujienlaiškų prenumeratos formos; ar naudojami slapukai ir panašiai.
Ką svarbu aptarti pirkimo–pardavimo sutartyje?
Bene dažniausiai praktikoje pasitaikantis klausimas – kas turi atsakyti už duomenų apsaugos pažeidimą, išaiškėjusį, pavyzdžiui, jau po bendrovės įsigijimo, tačiau įvykusį dar bendrovę valdant pardavėjui? Jau minėtu bendrovės „Yahoo“ įsigijimo atveju, „Verizon“ pasisekė, jog duomenų apsaugos pažeidimai paaiškėjo dar prieš pirkimo–pardavimo sutarties sudarymą, todėl ji turėjo galimybę derėtis dėl esminių sandorio sąlygų. Būtent tinkamų nuostatų įtraukimas į pirkimo–pardavimo sutartį jai leido minimalizuoti savo finansinę atsakomybę dėl visų galimų klientų teisių pažeidimų (už bet kokį ateityje paaiškėjusį asmens duomenų saugumo incidentą, įvykusį dar iki „Yahoo“ pirkimo–pardavimo sutarties pasirašymo dienos, atsakomybę dalinsis abi įmonės).
Po BDAR įsigaliojimo nei bendrovių pirkėjai, nei pardavėjai neskuba prisiimti visiškos atsakomybės už asmens duomenų apsaugos pažeidimus, įvykusius ar paaiškėjusius ne jiems valdant įmonę, o tikslus atsakomybės paskirstymo ir nuostolių atlyginimo klausimas dažnai reikalauja ne tik laiko, bet ir papildomų finansinių išteklių, todėl šalys linkusios sutartyse to neaptarti. Dažniausiai dėl tokio neapdairumo nukenčia pirkėjas, nes jau kitą dieną po bendrovės įsigijimo būtent jis kaip naujasis duomenų valdytojas gali sulaukti skundų dėl netinkamo asmens duomenų tvarkymo ar net baudos. Taigi, siekiant maksimaliai apsaugoti savo verslą, bendrovės pirkimo–pardavimo sutartyje turėtų būti aptarta bent: iki sutarties pasirašymo momento bendrovėje įvykę duomenų apsaugos pažeidimai, jų tyrimų tvarka, nukentėję asmenys, nuostolių kompensavimo procesai, konkretūs atsakomybės taikymo terminai ir baudos šalims bei tolesnė BDAR nustatyti reikalavimų įgyvendinimo tvarka. Atsakomybės ribos turėtų būti apibrėžiamos atsižvelgiant į gautus bendrovės patikrinimo rezultatus. Taigi kuo detaliau buvo įvertinta bendrovės atitiktis duomenų apsaugą reglamentuojančių teisės aktų reikalavimams, tuo lengviau įvertinti visas galimas duomenų pažeidimų rizikas ir atitinkamai paskirstyti šalių atsakomybę.
Galiausiai, atkreiptinas dėmesys ir į tai, jog tinkamas ir baudų bei nuostolių rizikas sumažinantis bendrovės įsigijimas nesibaigia sutarties pasirašymu. Nuo pat įmonės įsigijimo momento būtent pirkėjas tampa atsakingas dėl bendrovės atitikties BDAR, todėl ypatingai svarbu detaliai apsvarstyti ir pasirengti bendrovės integracijos procesui duomenų apsaugos kontekste. Pažymėtina, kad pirkėjas privalės laikytis visų, iki pardavimo momento bendrovėje pardavėjo nustatytų, asmens duomenų tvarkymo procedūrų ir tvarkų, o jei tokių nėra – privalės jas nustatyti.
Indrė Tamošiūnaitė, advokatų kontoros „COBALT“ asocijuota teisininkė