M&A: transgraniczny zakup przedsiębiorstwa w świetle nowego rozporządzenia dotyczącego ochrony danych osobowych
Adriana Grau, LL.M.
W maju 2018 r. wejdzie w życie nowe ogólnoeuropejskie rozporządzenie o ochronie danych osobowych (niem. GDPR). Jego celem jest osiągnięcie jak najbardziej spójnej ochrony danych w Unii Europejskiej.
Do tej pory w Niemczech obowiązywała - oprócz różnych specjalnych ustaw - krajowa ustawa o ochronie danych osobowych (niem. BDSG). Podobnie jak GDPR, BDSG chroni dane osób fizycznych (tak zwanych osób, których dane dotyczą), w kontekście B2C lub B2B. BDSG zostało utrzymane w mocy jako prawo federalne. Jednak pierwszeństwo zastosowania przypada GDPR. W celu osiągnięcia jedności prawnej, prawodawca będzie wprowadzał zmiany do BDSG.
W tym celu została już uchwalona ustawa o adaptacji i wdrażaniu ochrony danych (niem. DSAnpUG), która wchodzi w życie w tym samym czasie. Teraz kolej na przedsiębiorstwa, aby dostosowały swoje kontrakty i procedury do GDPR, tak aby nie ryzykowały płacenia kar za opóźnione wdrożenie nowych wymogów. Ponieważ nowe regulacje przewidują wzmocnienie praw i możliwości kontrolowania przez osoby, których ustawa dotyczy. Oznacza to, że wszystkie osoby fizyczne, których dane są przechowywane, wykorzystywane lub używane przez firmę, są uprawnione do udzielenia im odpowiednich informacji oraz w pewnych okolicznościach również do odszkodowania, art. 82 DSGVO.
W praktyce pozwoli to firmom przechowywać i korzystać z danych konsumentów, a także pracowników lub kontrahentów, w sposób zgodny z nowym rozporządzeniem. W przyszłości wszystkie osoby w Europie których ustawa dotyczy muszą zostać poinformowane, że ich dane są rejestrowane i nie mogą być ujawniane bez ich zgody. Wymogi te muszą być przestrzegane w całej Europie, również w przypadku restrukturyzacji i międzynarodowych przejęć przedsiębiorstw. Jeśli spojrzeć na międzynarodowe przejęcie firmy trzeciej, aspekty takie jak dane personelu są szczegółowo analizowane w ramach procesu due diligence. Tak długo, jak te dane osobowe nie są anonimowe, ich stosowanie jest zasadniczo niedopuszczalne.
Przy samej późniejszej transakcji również pojawia się pytanie, jaki wpływ mają nowe uregulowania ochrony danych osobowych na aktualne umowy i dane klientów. Międzynarodowe przejęcie przedsiębiorstwa odbywa się zazwyczaj poprzez tak zwany asset-deal lub share-deal. Również w takim przypadku należy zrócić uwagę na to, że nabywca przedsiębiorstwa nie może zapisywać ani wykorzystywać danych osobowych osób, których dane dotyczą, bez ich zgody. Jeżeli kontrahent osoby, której dane dotyczą, zmienia się w ramach restrukturyzacji lub zakupu przedsiębiorstwa, co do zasady konieczne jest, aby osoba, której dane dotyczą, została o tym poinformowana. Jeśli chodzi o ochronę danych, zakup przedsiębiorstwa w formie umowy share-deal nie budzi zastrzeżeń. W takim przypadku kupujący nabywa udziały spółki sprzedającej. Obejmuje on w związku z tym całkowite prawa i obowiązki sprzedającego. Nie ma ograniczeń w prawach dla pracowników, klientów lub dostawców. W takim przypadku pierwotny partner umowny, a mianowicie nabyta firma, pozostaje ich partnerem umownym. Zmienia się tylko właściciel udziałów przedsiębiorstwa. Sytuacja wygląda inaczej w przypadku umowy dotyczącej asset-deal.
Tutaj aktywa przedsiębiorstwa sprzedającego, czyli tzw. assets, są indywidualnie nabywane i przekazywane przedsiębiorstwu kupującemu. Ponieważ odbywa się to w drodze sukcesji pojedynczej, wramach asset-deal zmienia się partner umowy klienta, pracownika lub dostawcy. Już w odniesieniu do umów zgodnie z § 415 BGB (niemiecki kodeks cywilny) wymagana jest zgoda na przejęcie umowy przez inną osobę. Ta ocena prawna jest teraz ponownie uwzględniana w GDPR. W przypadku zakupu danych związanych z prawem ochrony danych osobowych należy wyjaśnić, czy na przechowywanie i dalsze korzystanie przez podmiot z danych musi zostać wyrażona zgoda przez osoby, których dane dotyczą, art. 7 RBP. Zgodnie z GDPR należy dokonać rozróżnienia, czy chodzi o dane, które wykorzystane są w celu wykonania umowy lub dane, które wykraczają poza nią, czy nawet służą innemu celowi (na przykład w celach reklamowych). Jeżeli jest to konieczne dla danych niezbędnych do realizacji zamówienia (np. nazwisko, adres, data urodzenia i tym podobne), przechowywanie i korzystanie z danych będzie dozwolone w związku z obowiązkiem wyrażenia zgody na zawarcie umowy zgodnie z § 415 BGB.
Z drugiej strony, informacje takie jak profile klientów dotyczące zachowań zakupowych, prywatnych adresów e-mail lub podobnych, nie są objęte ustawowym zezwoleniem GDPR. Zdaniem organów ochrony danych w takich przypadkach należy zastosować tak zwane rozwiązanie z zastosowaniem sprzeciwu. Oznacza to, że klienci muszą zostać poproszeni o zgłoszenie sprzeciwu w rozsądnym terminie, jeśli nie zgadzają się z transferem danych. Szczególną uwagę muszą zwrócić przedsiębiorstwa podczas przetwarzania danych przez inne podmioty. Jeżeli w ramach przejęć spółek, przejmowane są również umowy z przedsiębiorstwami, które przechowują lub przetwarzają dane stron trzecich nie do celów własnych, ale w imieniu zleceniodawcy, umowa jest określona przez prawo, które określa zakres i czas przechowywania danych i zapewnia odpowiedni poziom ochrony, art. 28 GDPR.
Podsumowując, biorąc pod uwagę ujednolicenie przepisów regulujących ochronę danych osobowych, przedsiębiorstwa powinny zwracać szczególną uwagę na to, jakie dane pozyskują i ponownie wykorzystują w międzynarodowych przejęciach przedsiębiorstw. Ważnym aspektem jest, iż istnieje ryzyko, że istniejące umowy, które zostały już zawarte, nie zostały zaprojektowane zgodnie z unijną ochroną danych osobowych. Odpowiednie deklaracje zgody osób, których dane dotyczą, należy zatem uzyskać lub włączyć do nowo zawieranych umów o pracę i umowach z dostawcami. W przypadku naruszenia GDPR grożą grzywny w wysokości do 20 milionów euro, a nawet 4% rocznego światowego obrotu przedsiębiorstwa, art. 83 DSGVO.
Autor:
Adriana Grau, LL.M.
Partner zarządzający Kancelarii GRAU Rechtsanwälte LLP
Adwokat specjalista z zakresu prawa własności przemysłowej
Adwokat specjalista z zakresu prawa handlowego i prawa spółek
Administrator bezpieczeństwa informacji (TÜV)
Grau Rechtsanwälte LLP jest kancelarią specjalizującą się w prawie własności intelektualnej i reprezentuje zarówno właścicieli praw ochronnych jak i podmioty gospodarcze oraz osoby fizyczne, którym zarzuca się naruszenie praw, w postępowaniu pozasądowym i sądowym na terenie całej Republiki Federalnej Niemiec.
GRAU Rechtsanwälte LLP
Rödingsmarkt 20
20459 Hamburg
Tel.: +49 40 180 364 020
Fax: +49 40 180 364 022
E-Mail: office@graulaw.eu
Internet: www.graulaw.eu
www.grauinkasso.eu
Inne Publikacje:
Nowe przepisy odnośnie ochrony danych osobowych dla przedsiębiorstw
Przedawnienie w prawie transportowym – Uwaga: krótkie terminy
Przedsiębiorstwa transportowe i spedycyjne: rozliczenie w ramach samofakturowania
Publications on the topic
Adriana Grau LL.M.