Miten tietosuoja tulisi huomioida yrityskaupoissa?

Yrityskauppatilanteessa ostajan intressissä on saada kattavasti tietoa kohdeyrityksen toiminnasta mm. arvonmääritystä ja riskien identifioimista varten. Myyjän intressissä taas on antaa ostajalle riittävästi tietoa, jotta yrityskauppa voisi toteutua. Kohdeyrityksen työntekijöitä tai asiakkaita koskeva tieto on kuitenkin usein lain tarkoittamalla tavalla henkilötietoa ja siihen soveltuu henkilötietojen luovuttamista koskevat rajoitukset. Myyjän tuleekin tietoja luovuttaessaan huolehtia myös siitä, että henkilötietoja luovutetaan vain henkilötietojen käsittelyä koskevan lainsäädännön sallimalla tavalla ja sen asettamissa rajoissa.

Tällä hetkellä henkilötietojen keräämisestä, käsittelystä ja suojasta säädetään mm. henkilötietolaissa (523/1999) ja laissa yksityisyyden suojasta työelämässä (759/2004). Lisäksi uusi EU:n tietosuoja-asetus tuli voimaan 24.5.2016 ja tulee kansallisesti sovellettavaksi kahden vuoden siirtymäajan päätyttyä eli 25.5.2018 alkaen. Uusi sääntely asettaa EU:n alueella toimiville yrityksille uusia vaatimuksia henkilötietojen keräämiseen ja käsittelyyn liittyen. Lisäksi velvoitteiden noudattamatta jättämisestä voi jatkossa seurata määrältään huomattavia taloudellisia sanktioita.

Pääsääntöisesti henkilötietoja ei saa luovuttaa ennen kaupan toteutumista

Lähtökohtaisesti rekisterinpitäjä eli henkilötietojen käsittelystä vastaava taho ei saa luovuttaa henkilötietoja kolmannelle osapuolelle.

Pääsäännön mukaan myyjä ei siis saisi luovuttaa henkilötietoja ostajalle ennen yrityskaupan toteutumista, ellei luovuttamiselle ole osoitettavissa lain mukaista perustetta, esimerkiksi rekisteröidyn suostumusta tai tietoisuutta.

Suostumuksen pyytäminen tai kaupasta tiedottaminen ei yrityskauppatilanteessa kuitenkaan ole neuvotteluvaiheen luottamuksellisuuden vuoksi yleensä käytännössä mahdollista (poikkeuksena avainhenkilöt, jotka saattavat tietyissä tilanteissa olla kaupasta tietoisia).

Salassapitosopimus ja vaihtoehdot henkilötietojen luovuttamiselle

Edellä todetusta johtuen henkilötietojen käsittely tulisi suunnitella yrityskauppatilanteessa aina jo ennen kuin tietoja luovutetaan. Yrityskauppaprosessin alkuvaiheessa on suositeltavaa solmia myyjän ja ostajan kesken salassapitosopimus, jossa sovitaan prosessin aikana luovutettujen luottamuksellisten tietojen käsittelystä. Samalla on hyvä sopia myös siitä, miten ja missä muodossa henkilötiedot luovutetaan ostajan nähtäviksi samoin kuin siitä, miten ja missä ajassa luovutetut tiedot tulee palauttaa tai hävittää. Jos due diligence -tarkastusta varten käytetään ulkopuolisen palveluntarjoajan virtuaalista datahuonepalvelua, vastaavista asioista tulisi sopia myös palveluntarjoajan kanssa.

Tietosuoja-asetus edellyttää, että rekisterinpitäjä pystyy osoittamaan ottaneensa tietosuojaan liittyvät riskit huomioon ja toimineensa säädöksen vaatimusten mukaisesti (osoitusvelvollisuus). Tietosuojan huomioiminen salassapitosopimuksessa on yksi väline tämän osoittamiseksi.

Kuitenkaan pelkkä yleisluonteinen salassapitosopimus ei vielä tarkoita sitä, että myyjä voisi vapaasti luovuttaa henkilötietoja ennen kaupan toteutumista, vaan myyjän tulee tapauskohtaisesti arvioida, missä laajuudessa tietoja voidaan luovuttaa ostajalle. Yksi vaihtoehto on luovuttaa henkilötietoja anonymisoituna esimerkiksi siten, että työ- tai asiakassopimuksista peitetään henkilötietoja sisältävät kohdat tai toimitetaan sopimusten sijaan vain mallisopimuksia. Tiedot voidaan luovuttaa myös yhteenvetona tai tilastotietona, josta yksittäiset henkilöt eivät ole tunnistettavissa. Henkilötietojen luovuttamisessa tulee huomioida myös tarpeellisuusvaatimus eli vain kaupan toteuttamiseksi tarpeellisia tietoja voi luovuttaa.

Tietosuojariskit voivat vaikuttaa kaupan ehtoihin

Sen lisäksi, että henkilötietojen käsittelyä koskeva lainsäädäntö rajoittaa osapuolten mahdollisuuksia luovuttaa tietoa, se voi myös toimia keinona arvioida kohdeyritystä. Due diligence -tarkastuksessa voidaan arvioida tapaa, jolla kohdeyritys on huomioinut tietosuoja-asetuksen tai muun henkilötietojen käsittelyä koskevan lainsäädännön asettamat velvoitteet tai että miten mahdollisiin tietoturvauhkiin on kohdeyrityksessä varauduttu. Huonosti hoidettu tietosuoja on riski. Vastaavasti taas hyvin hoidettu tietosuoja on strateginen etu. Havaintojen perusteella mahdollisista tulevista riskeistä ja vastuista voidaan sopia osapuolten kesken kauppakirjassa.

Tietosuojavelvoitteet kaupan toteutumisen jälkeen

Henkilötiedot voidaan luovuttaa ostajalle, kun yrityskauppa lopulta toteutuu. Jos kyse on liiketoimintakaupasta, henkilötietojen mukana myös vastuu henkilötiedoista ja niiden käsittelystä siirtyy ostajalle. Toisinaan myyjän ja ostajan välillä sovitaan lisäksi niin sanotuista siirtymäajan palveluista, joihin voi liittyä myyjän tarve käsitellä henkilötietoja vielä kaupan jälkeen. Tällaisissa tilanteissa henkilötietojen käsittelystä ja käsittelyyn liittyvistä vastuista on syytä jälleen sopia osapuolten kesken kirjallisesti.

Sovi kirjallisesti

Henkilötietojen käsittelyä koskevaan lainsäädäntöön on syytä kiinnittää huomiota myös yrityskauppojen yhteydessä. Mitä aikaisemmassa vaiheessa henkilötietojen käsittelyyn liittyvät velvoitteet ja riskit tunnistetaan yrityskaupan osapuolten kesken, sitä paremmin henkilötietojen käsittelyä koskevan lainsäädännön vaatimukset voidaan täyttää. Henkilötietojen käsittelystä yrityskauppaprosessin aikana sekä käsittelyyn liittyvistä vastuista on aina suositeltavaa sopia osapuolten kesken kirjallisesti. Lisäksi osapuolten tulee miettiä käytännön vaihtoehtoja henkilötietojen luovuttamiselle ennen kaupan toteutumista. Ostaja harvoin tarvitsee vielä neuvotteluvaiheessa yksilötason tietoja, vaan anonymisoidut tiedot, yhteenvedot tai tilastot riittävät.