Susijungimo ir įsigijimo sandoriai (angl. Mergers & Acquisitions, M&A), tapę dažnu įvykiu verslo praktikoje, padeda bendrovėms greičiau pasiekti užsibrėžtų plėtros bei augimo tikslų ir žengti didesnį žingsnį į priekį. Šie sandoriai yra kompleksiški ir reikalauja plataus požiūrio į daugybę skirtingų teisės sričių klausimų.
Prieš įsigydamas verslą (bendrovės akcijas ar bendrovę, ar jos dalį, kaip turtinį kompleksą), pirkėjas dažniausiai siekia išsiaiškinti perkamo verslo turtinę padėtį ir tikrąją vertę, todėl paprastai atlieka išsamų perkamo verslo teisinį bei finansinį auditą (angl. due-diligence). Šio patikrinimo metu pirkėjas įgyja galimybę susipažinti su didele apimtimi perkamos bendrovės turimos informacijos, tame tarpe – asmens duomenų, kurie turi būti tvarkomi (taip pat ir perduodami) laikantis griežtų Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimų. Dažniausiai praktikoje tokiu atveju pirkėjui pateikiama gana detali informacija apie perkamos bendrovės ar verslo dalies klientus, tiekėjus ir darbuotojus. Toks informacijos pateikimas, nors ir galėtų būti bandomas grįsti teisėtu pirkėjo interesu išsiaiškinti tikrąją perkamo verslo būklę, veikiausiai nebūtų suderinamas su BDAR įtvirtintais teisėtumo ir duomenų kiekio mažinimo principais.
Valstybinė duomenų apsaugos inspekcija (VDAI) kol kas nėra pateikusi jokių išaiškinimų, kaip M&A sandorio kontekste turėtų būti tvarkomi asmens duomenys. Tačiau tokias gaires pamažu formuoja kitų Europos valstybių duomenų apsaugos priežiūros institucijos. Štai Vokietijos duomenų apsaugos priežiūros institucijų susirinkimas (Datenschutzkonferenz (DSK)) viename iš naujausių savo sprendimų išskyrė grupes duomenų subjektų, kurių asmens duomenys galėtų būti perduodami pirkėjui M&A sandorio kontekste, kai perkamas verslas ar jo dalis (ang. asset deal):
- Esamų klientų, turinčių vykdomas sutartis su verslo dalį perleidžiančia bendrove:
Kad būtų galima įvykdyti vienos iš sutarties šalių pakeitimą, Vokietijos civilinė teisė numato būtinybę gauti kitos sutarties šalies sutikimą. DSK tokiu atveju laiko, jog sutikimas dėl šalies asmens duomenų perdavimo naujajai sutarties šaliai yra išreiškiamas duodant sutikimą pakeisti kitą sutarties šalį. Panašus reikalavimas numatytas ir Lietuvos Respublikos civilinio kodekso (CK) nuostatose, reguliuojančiose prievolės (reikalavimo arba skolos) perleidimą, todėl manome, kad šia logika būtų galima vadovautis. Tiesa, CK nereikalauja visais atvejais gauti skolininko sutikimo kreditoriui siekiant perleisti prievolę trečiajam asmeniui, todėl tokiu atveju skolininkas apie jo asmens duomenų perdavimą naujajam kreditoriui, manytina, galėtų būti informuojamas kartu su pranešimu apie reikalavimo perleidimą.
- Esamų klientų, neturinčių vykdomų sutarčių su verslo dalį perleidžiančia bendrove (t.y. paskutinis sutarties vykdymo veiksmas vyko daugiau, nei prieš trejus metus):
Klientų, neturinčių vykdomų sutarčių su verslo dalį perleidžiančia bendrove daugiau nei trejus metus, asmens duomenys pirkėjui galėtų būti perleidžiami tik siekiant įvykdyti teisės aktuose nustatytas duomenų saugojimo prievoles (pvz., sąskaitas-faktūras buhalterinės apskaitos vedimo tikslu, anketas pinigų plovimo ir terorizmo finansavimo prevencijos tikslu ir kt.).
- Esamų klientų, neturinčių vykdomų sutarčių su verslo dalį perleidžiančia bendrove (t.y. paskutinis sutarties vykdymo veiksmas vyko mažiau, nei prieš trejus metus):
Klientų, neturinčių vykdomų sutarčių su verslo dalį perleidžiančia bendrove, tačiau paskutiniam sutarties vykdymo veiksmui buvus mažiau nei prieš trejus metus, asmens duomenys pirkėjui galėtų būti perleidžiami suteikiant klientams galimybę nesutikti su jų asmens duomenų perdavimu (angl. opt-out mechanism). DSK nurodo, jog šešių savaičių periodas yra adekvatus, jog klientai galėtų pateikti savo prieštaravimus dėl jų asmens duomenų perleidimo. Žinoma klientai apie rengimąsi perduoti duomenis turi būti informuojami iš anksto, o galimybė prieštarauti turėtų būti nesunkiai įgyvendinama, pvz., suteikiant galimybę interneto puslapyje pažymėti varnelę.
Tiesa, DSK numatė ir vieną išimtį dėl banko sąskaitos duomenų, kurių perleidimui numatė privalomą aktyvų duomenų subjekto sutikimo davimą (angl. opt-in mechanism).
- Būsimų klientų, kurių derybos dėl sutarties su verslo dalį perleidžiančia bendrove sudarymo yra pažengusios:
Šiuo atveju reikalavimai būsimų klientų asmens duomenų perleidimui yra analogiški, kaip ir esamų klientų, neturinčių vykdomų sutarčių su verslo dalį perleidžiančia bendrove (t.y. paskutinis sutarties vykdymo veiksmas vyko mažiau nei prieš trejus metus), asmens duomenų perleidimui.
- Klientų, į kuriuos verslo dalį perleidžianti bendrovė turi nukreiptų vykdytinų reikalavimų:
Kai perduodami vykdytini reikalavimai į klientus, tokių klientų duomenis parastai leidžiama perduoti naujajam kreditoriui. Tačiau toks perdavimas negalimas, jeigu su klientu sudarytas atskiras susitarimas, pagal kurį reikalavimo teisė į jo vykdytiną prievolę negali būti perduota kitam kreditoriui (pvz., prievolės įvykdymas yra išimtinai susijęs su konkrečiu kreditoriumi).
- Labai jautrių klientų duomenų (specialiųjų kategorijų duomenų):
Visais atvejais prieš perduodant specialiųjų kategorijų asmens duomenis būtinas išankstinis aiškiai išreikštas duomenų subjekto sutikimas, kuris turi būti pateikiamas kartu su BDAR 13 straipsnyje nurodyta informacija apie duomenų tvarkymą. Specialiųjų kategorijų asmens duomenimis laikomi duomenys apie rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat genetiniai duomenys, biometriniai duomenys, sveikatos duomenys arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją (BDAR 9 straipsnio 1 dalis).
DSK savo gairėse nesugrupavo bendrovės, perleidžiančios verslą / verslo dalį, tiekėjų ir darbuotojų asmens duomenų, tačiau labai tikėtina, jog tiekėjų asmens duomenų grupavimas būtų analogiškas klientų asmens duomenų skirstymui. Tuo tarpu darbuotojų asmens duomenų perdavimas pirkėjui, manytume, galėtų vykti po darbuotojo informavimo ir tik šiam nepareiškus nesutikimo dėl darbo santykių tęstinumo, kaip tai numato Lietuvos Respublikos darbo kodekso (DK) 51 straipsnio 5 dalis. Pažymėtina, jog prieš perduodant pirkėjui darbuotojų specialiųjų kategorijų asmens duomenis taip pat turi būti laikomasi papildomų reikalavimų.