Lähes kaikki yritykset käsittelevät asiakkaiden ja työntekijöiden tietoja ja siten myös henkilötietoja. Uuden EU:n tietosuoja-asetuksen myötä henkilötietojen käsittelyä koskevat säännöt muuttuvat ja rangaistukset asetuksen vaatimusten noudattamatta jättämisestä voivat nousta jopa kymmeniin miljooniin euroihin. On siis tärkeää, että viimeistään nyt henkilötietojen käsittelyn asianmukaisuuteen ryhdytään kiinnittämään erityistä huomiota myös yrityskauppojen yhteydessä.

Yrityskauppatilanteessa on tarkoin harkittava, millä hetkellä ja millä perusteilla henkilötietojen luovuttaminen on sallittua. Ostajan kannalta on tärkeää saada tarpeelliset tiedot kaupan kohteesta, kun taas myyjän täytyy huolehtia, että henkilötietoja luovutetaan vain lain sallimissa rajoissa.

Koostimme alle kuusi vinkkiä, joiden avulla huomioit tietosuojan yrityskaupan jokaisessa vaiheessa.

1) Sovi tietosuojasta jo salassapitosopimuksessa

Yrityskaupan osapuolet solmivat usein salassapitosopimuksen, jossa määritellään muun muassa se, miten kaupan kohteesta prosessin aikana luovutettavia luottamuksellisia tietoja saa käsitellä. Jo tässä yhteydessä kannattaa harkita, miten ostajalle voidaan toimittaa tarvittavat tiedot kaupan kohteesta ilman, että henkilötietoja luovutetaan lain vastaisesti. Kun tietosuoja-asioista sovitaan jo yrityskauppaprojektin alkuvaiheessa, osapuolten on helppo jälkikäteen osoittaa toimineensa asianmukaisesti lain puitteissa.

2) Huomioi henkilötietojen luovuttamisen rajoitukset

Pääsääntönä henkilötietojen käsittelyssä on, että rekisterinpitäjä eli henkilötietojen käsittelystä vastaava taho ei saa luovuttaa henkilötietoja kolmannelle osapuolelle. Säännön mukaan myyjä ei siis saisi luovuttaa henkilötietoja yrityskaupan yhteydessä ostajalle ennen kaupan toteutumista.

Kohdeyhtiön työntekijöiden tai asiakkaiden henkilötietoja voi luovuttaa ostajalle ainoastaan henkilön suostumuksella tai mikäli henkilön voidaan olettaa olevan tietoinen asiasta. Koska yrityskaupat ovat luonteeltaan usein korostetun luottamuksellisia, ei suostumus tai luovutuksesta tiedottaminen usein tule kyseeseen. Poikkeuksena ovat esimerkiksi tilanteet, joissa myydään erityisesti avainhenkilöiden osaamista ja avainhenkilöt ovat tietoisia kaupasta. Lisäksi julkisesti saatavilla olevat henkilötiedot, kuten yrityksen johdon henkilötiedot, voidaan luovuttaa.

3) Mieti vaihtoehtoja henkilötietojen luovuttamiselle

Myyjä voi välttää jakamasta tietoja lainvastaisesti anonymisoimalla henkilötiedot esimerkiksi mustaamalla ne ostajalle toimitettavista asiakirjoista tai toimittamalla ostajalle oikeiden työ- ja asiakassopimusten sijaan ainoastaan mallisopimuksia. Myös erilaiset yhteenvedot, tilastot ja profiilit ovat sallittuja, mikäli niiden sisällöstä ei voi tunnistaa yksittäistä henkilöä.

Tietojen luovuttamisessa tulee muistaa tarpeellisuusvaatimus: vain yrityskaupan toteuttamiseksi tarpeellisia tietoja saa luovuttaa, ja niitäkin pääsääntöisesti vasta yrityskaupan toteutuksen yhteydessä. Ostaja harvoin tarvitsee arvonmääritystään tai riskien identifioimista varten yksilötason tietoa, jolloin vaihtoehto on yleensä löydettävissä.

4) Huolehdi tietoturvasta kokonaisvaltaisesti

Kun kaupan kohteen tietoja luovutetaan ostajalle osana ns. due diligence ‑tarkastusta, myyjän on huomioitava tietoturva myös suhteessa yrityskaupan muihin osapuoliin. Jos myyjä esimerkiksi käyttää virtuaalisia datahuonepalveluita, on hyvä sopia salassapidosta, tietoturvasta ja tietojen palauttamisesta myös palveluntarjoajan kanssa.

On tärkeää, että yrityskaupan päättymisen jälkeen luottamukselliset tiedot saadaan palautettua eikä niitä jää vääriin käsiin. Älä siis lähetä yrityskaupan kannalta salassa pidettäviä tietoja tai henkilötietoja sisältäviä materiaaleja esimerkiksi sähköpostilla.

5) Hallitse tietosuojariskit kauppakirjassa

Se, miten kohdeyhtiö on käsitellyt henkilötietoja ja dokumentoinut henkilötietojen käsittelyvaiheet, on ostajalle arvokasta tietoa. Due diligence ‑vaihe tarjoaa ostajalle mahdollisuuden havaita mahdolliset tietoturvauhat tai puutteet tietojen käsittelyssä. Havaintojensa pohjalta ostaja pystyy varautumaan mahdollisiin jälkikäteisiin sanktioihin sopimalla vastuista myyjän kanssa kirjallisesti.

Myös myyjän näkökulmasta hyvin hoidettu henkilötietojen käsittely kannattaa, sillä se saattaa nostaa myytävän kohteen arvoa. Tämä korostuu terveydenhuolto- ja hyvinvointipalveluiden sekä digitaalisten kuluttajapalveluiden kaltaisilla toimialoilla, joilla henkilötietoja käsitellään hyvin laajasti.

6) Muista yrityskaupan toteutumisen jälkeiset velvoitteet

Kun yrityskauppa toteutuu, esimerkiksi työntekijöiden henkilötiedot saa vihdoinkin luovuttaa ostajalle. Liiketoimintakaupassa ostajasta tulee lisäksi henkilötietojen osalta uusi vastuullinen osapuoli, eikä myyjällä ole enää oikeutta käsitellä työntekijä- tai asiakastietoja. Ostajan tulee huolehtia henkilötietojen lainmukaisesta käsittelystä ja päivittää muun muassa rekisteriselosteet.

Todellisuudessa myyjällä saattaa kuitenkin olla yhä pääsy ostajan hallussa oleviin henkilötietoihin vielä kaupan toteutumisen jälkeen. Näin voi olla, jos myyjä tarjoaa kohdeyhtiölle esimerkiksi palkka- tai henkilöstöhallintoon liittyviä palveluita. Tällaisia palveluita tarjotaan usein tietyn siirtymäajan kaupan toteutuksen jälkeen siihen saakka, että ostaja itse voi tai ehtii näitä palveluita järjestää. Silloin ostajan tai kohdeyhtiön tulee kuitenkin sopia myyjän kanssa kirjallisesti henkilötietojen käsittelyyn liittyvistä vastuista siltä ajalta, kun myyjä toimii henkilötietojen käsittelijänä ostajan tai kohdeyhtiön lukuun.

Y