Yrityskauppa ja GDPR

Tietosuoja yhtenä tarkistuskohtana

Yrityskauppatilanteessa ostajan intressinä on saada kattavasti tietoa kohdeyrityksen toiminnasta mm. arvonmääritystä ja riskien identifioimista varten.

Myyjän intressinä taas on antaa ostajalle riittävästi tietoa, jotta yrityskauppa voisi toteutua.

Yrityksen myyjän tulee tietoja luovuttaessaan huolehtia siitä, että henkilötietoja luovutetaan vain tietosuojalainsäädännön sallimalla tavalla ja sen asettamissa rajoissa.

Tietosuoja osana arviota

Tietosuojan toteuttamisen taso voi toimia yhtenä keinona arvioida kohdeyritystä. Due diligence -tarkastuksessa voidaan arvioida tapaa, jolla kohdeyritys on huomioinut tietosuoja-asetuksen henkilötietojen käsittelyä koskettavat velvoitteet ja miten mahdollisiin tietoturvauhkiin on kohdeyrityksessä varauduttu.

Huonosti hoidettu tietosuoja on, varsinkin Vastaamon tapahtuman jälkeen, riski sekä ostajalle että myyjälle.

Tietosuojavelvoitteet yrityskaupan jälkeen

Henkilötiedot voidaan yrityskaupan toteutuessa luovuttaa ostajalle. Jos kyse on liiketoimintakaupasta, henkilötietojen mukana myös vastuu henkilötiedoista ja niiden käsittelystä siirtyy ostajalle.

On mahdollista, että myyjän ja ostajan välillä sovitaan lisäksi ns.  ”siirtymäajan palveluista”, joihin voi liittyä myyjän tarve käsitellä henkilötietoja vielä kaupan toteutumisen jälkeen.

Ennakointi onnistumisen ytimessä

Yrityskauppaan tai pääomasijoituksiin on hyvä valmistautua jo ennen kuin keskustelut ostosta tai sijoituksista ovat alkaneet.

Lainmukaisesti toteutettu tietosuoja tuo mukanaan turvallisuutta sekä ostajalle että myyjälle.