Perleidžiate verslą? Pagalvokite apie asmens duomenų apsaugą

2018 m. gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR) daugelis įmonių, neplanuojančių perleisti verslo, prisitaikė prie naujų sugriežtėjusių reikalavimų asmens duomenų tvarkymui ir grįžo prie kasdieninės veiklos. Tačiau planuojančios verslo perleidimo sandorius įmonės gali susidurti su naujais iššūkiais būtent dėl sugriežtėjusių reikalavimų asmens duomenų tvarkymui, todėl kyla klausimas, kas gi pasikeitė po BDAR įsigaliojimo verslo perleidimo sandoriuose, „dalinantis“ personalo duomenimis (įskaitant jų asmens duomenis)?

Svarbu pažymėti, kad iki BDAR įsigaliojimo perleidžiamos įmonės teisininkai tiesiog paruošdavo konfidencialumo susitarimą verslo pirkėjui ir perduodavo pirkėjo pageidaujamą informaciją perkamos įmonės patikrinimui, tame tarpe – ir perleidžiamos įmonės darbuotojų asmens duomenis. Tam, kad pirkėjas galėtų nuodugniai pasitikrinti perkamos įmonės personalo struktūrą, įsipareigojimus, galimą atsakomybę ir pan., buvo stengiamasi perduoti kuo daugiau personalo duomenų.

Tačiau po BDAR įsigaliojimo verslo perleidimo dalyviai turi tapti ženkliai apdairesni ir dėl sugriežtėjusių duomenų tvarkymo reikalavimų, ir dėl didelių baudų, gresiančių duomenų tvarkymo reikalavimų pažeidėjams. Visi verslo perleidimo dalyviai turi išlikti budrūs kiekvienoje verslo perleidimo stadijoje – tiek ketinimų perleisti verslą įtvirtinimo ir konfidencialumo susitarimų  pasirašymo, perkamo verslo patikrinimo ir derybų metu, tiek ir įsigijimo sandorio pasirašymo bei atskleidimo rašto pateikimo metu.

Verslo perleidimo dalyviams patartina nuodugniai įsivertinti personalo /darbuotojų asmens duomenų perdavimo tikslą ir pagrindą jau pačioje verslo  įsigijimo proceso pradžioje, įtraukiant duomenų apsaugos specialistus, atliekant poveikio duomenų apsaugai vertinimą. Panašu, kad duomenų apsaugos pareigūnas ar kitas specialistas taps neatskiriamu verslo perleidimo dalyviu ir patarėju.

Vienas iš pagrindinių BDAR įtvirtintų principų– duomenų minimizavimo – tikėtina ženkliai pakeis iki šiol įprastinę perduodamų personalo duomenų apimtį, sumažinant ją iki minimalios. Galima pagrįstai manyti, kad vadovaujantis šiuo principu, detalių duomenų perdavimas bus galimas tik suteikus jiems pseudonimus, pateikiant apibendrintai, tokiu būdu išvengiant perteklinio asmens duomenų perdavimo / atskleidimo. Ypatingas dėmesys turėtų būti skiriamas specialių kategorijų duomenims. Kažin, ar jų perdavimas bus galimas kitaip, nei darbuotojams sutikus. Verslo perleidimo dalyviai turės užtikrinti, kad virtualiems „data room“ yra pasitelkiami patikimi programinės įrangos tiekėjai. Kadangi tokių paslaugų tiekėjai bus laikomi duomenų tvarkytojais, su jais turės būti sudarytos BDAR 28 straipsnio reikalavimus atitinkančios duomenų tvarkymo sutartys. „Data room“ aplinka turės būti suprojektuota taip, jog būtų griežtai kontroliuojamas ir apskaitomas susipažinimas su pateikiamais duomenimis, ribojant jų atgaminimą (pvz., spausdinimą ar ekrano kopijų darymą) bei užtikrinant griežtą prieigos prie duomenų kontrolę. Įmonės turės peržiūrėti informacinius pranešimus dėl duomenų tvarkymo sąlygų ar įmonės viduje galiojančias duomenų tvarkymo taisykles ir spręsti, ar darbuotojų asmens duomenų perdavimo atveju nekyla pareiga iš naujo informuoti darbuotojus taip, kaip nustatyta BDAR 12 straipsnyje. Ypatingą dėmesį reikės skirti tiems atvejams, kai duomenys perduodami už EEE (EEA) ribų – verslo perleidimo dalyviai turės išspręsti saugaus duomenų perdavimo klausimą, t.y. remtis Europos Komisijos sprendimu dėl tinkamumo arba pasirašyti standartines sutarties sąlygas, užtikrinti perduodamų duomenų saugumą, asmenų teises ir pan. Be to, visus duomenų tvarkymo veiksmus reikėtų „dokumentuoti“, siekiant užtikrinti atskaitomybės principo įgyvendinimą.

Įmonės / verslo perleidimo kontekste į BDAR reikalavimus reikėtų atsižvelgti ne tik dėl paties perleidimo proceso atitikties užtikrinimo, bet ir įvertinant perkamo verslo rizikingumą. Dažniausiai susiklosčiusi praktika verslo perleidimo metu atlikti perkamos įmonės finansinės būklės, darbo santykių, turto patikrinimą, tačiau atsižvelgiant į BDAR numatytų finansinių sankcijų grėsmę, į patikrinimą pirkėjui vertėtų įtraukti ir perkamo verslo vykdomo duomenų tvarkymo atitiktį teisės aktams. To neatlikus pirkinys gali ženkliai pabrangti ne tik dėl minėtų galimų finansinių sankcijų, bet ir dėl nenumatytų išlaidų duomenų tvarkymo atitikčiai užtikrinti, tokių kaip duomenų audito, teisinių procedūrų ir IT įrangos diegimo kaštai.

Taigi – duomenų perdavimo / tvarkymo sąlygų aptarimas taps svarbia ir neatsiejama verslo perleidimo proceso dalimi, reikalaujančia naujų sutarčių ir konfidencialumo / griežto prieigos ribojimo reikalavimų įgyvendinimo ir platesnio požiūrio į perkamo verslo rizikingumą.  

Send this to a friend