Wstęp
Zbycie przedsiębiorstwa lub jego części jest powszechną formą transakcji handlowej obejmującą przeniesienie własności przedsiębiorstwa wraz z jego aktywami z jednego podmiotu na drugim. Sam proces sprzedaży przedsiębiorstwa jest skomplikowanym, wielowątkowym procesem prawnym. Niemniej, w niniejszym artykule postaramy się odpowiedzieć na pytanie, w jaki sposób podczas transakcji zbycia przedsiębiorstwa zadbać o przetwarzanie danych osobowych zgodnie z wymogami RODO.
Proces due diligence
Zanim jednak dojdzie do ostatecznej sprzedaży / nabycia przedsiębiorstwa bardzo często mamy do czynienia z tzw. „badaniem due diligence”. Przez due diligence należy rozumieć badanie stanu prawnego przedsiębiorstwa przed jego nabyciem. Podmiot nabywający musi być pewny, że przedsiębiorstwo, które zamierza kupić jest w dobrym stanie finansowym, prawnym i organizacyjnym. Badanie due diligence najczęściej przeprowadzone jest przez specjalistyczne podmioty audytowe na zlecenie nabywającego. Inspektor Ochrony Danych (dalej jako „IOD”) spółki, która jest poddawana audytowi, powinien przeanalizować zakres i celowość udostępnianych danych w ramach due diligence. W większości przypadków audytor wymaga przesłania szeregu dokumentów, w tym dokumentów, sprawozdań finansowych, w których widnieją dane osobowe: klientów, pracowników, współpracowników. Zawsze w takich przypadkach pojawia się słuszne pytanie o zakres udostępnianych danych.
W większości przypadków przed przeprowadzeniem badania due diligience dochodzi do zawarcia umowy pomiędzy audytorem, a audytowanym określającej szczegóły prowadzonych czynności audytowych. W pierwszej kolejności IOD powinien zweryfikować taką umowę w zakresie postanowień dotyczących ochrony danych osobowych. Co do zasady, audytorzy występują w roli oddzielnego administratora danych osobowych. Wynika to z przyjętego stanowiska przez PUODO w odpowiedzi na pytanie zadane przez Polską Izbę Biegłych Rewidentów (por. https://uodo.gov.pl/pl/225/1248). Organ nadzorczy wyraźnie stwierdził, że firmy audytorskie ze względu na cele przetwarzania oraz obowiązuję ich przepisy prawa występują w roli oddzielnego administratora danych. W związku z powyższym przed badaniem, due diligence nie jest konieczne zawarcie umowy powierzenia przetwarzania danych z firmą audytorską. Niemniej, konieczne jest zweryfikowanie postanowień dotyczących ochrony danych osobowych. Przy badaniach due diligence najważniejsze z perspektywy ochrony danych osobowych jest zwrócenie uwagi na realizacje zasady minimalizacji danych osobowych. Zgodnie z zasadą minimalizacji danych należy przetwarzać wyłącznie te dane osobowe, które rzeczywiście są niezbędne do realizacji celów przetwarzania. Przed rozpoczęciem badania due diligence konieczne wspólne ustalenie z podmiotem audytującym jaki zakres danych osobowych jest niezbędny do przeprowadzenia badania stanu prawnego przedsiębiorstwa. W związku z powyższym rekomendowane jest:
- Ustalenie przed rozpoczęciem due diligence zakresu danych osobowych, które są rzeczywiście niezbędne do przeprowadzenia badania. Podmiot audytujący, jak i podmiot udostępniający powinni być w stanie uzasadnić celowość przekazywanych danych.
- Tam, gdzie jest to możliwe – udostępniać dokumenty w formie zanonimizowanej lub pseuodonimizowanej.
Nabycie przedsiębiorstwa – co ze zgodami, obowiązkami informacyjnymi, umowami powierzeniami?
Zgodnie z art. 494 par. 1 kodeksu spółek handlowych spółka przejmująca albo spółka nowo zawiązana wstępuje z dniem połączenia we wszystkie prawa i obowiązki spółki przejmowanej albo spółek łączących się przez zawiązanie nowej spółki. Jest to tzw. sukcesja uniwersalna praw i obowiązków. Te zasady należy również dostosować do kwestii praw i obowiązków związanych z przetwarzaniem danych osobowych. W pierwszej kolejności spółka wstępujące w prawa i obowiązki spółki oddającej, powinna zweryfikować czy procesy i cele przetwarzania danych przez spółkę nabywające będą takie same jak poprzednio. Jeżeli tak, to należy przyjąć, że wyrażone wcześniej zgody i przekazane obowiązki informacyjne zachowują ważność. Nie oznacza to jednak, że osoby fizyczne nie powinny otrzymać żadnego komunikatu. W przypadku nabycia przedsiębiorstwa, nowy podmiot prawny powinien powiadomić podmioty danych o nowym administratorze danych i jego danych kontaktowych. Wyrażone zgody na przetwarzanie danych osobowych pozostaną aktualne. Nie zmienia to jednak faktu, że w ramach wyrażonych zgód, należy poinformować o nowym administratorze danych osobowych i jego danych rejestrowych. Dodatkowo, rekomendowane jest poinformowanie o możliwości wycofania zgody w każdym momencie.
Jeżeli w ramach wyrażonej wcześniej zgody, nowa spółka zamierza realizować inne cele przetwarzania, automatycznie należy będzie pozyskać nową, zaktualizowaną o nowe cele zgodę na przetwarzanie danych osobowych. W przypadku, gdy nowy podmiot zdecyduje o tym, że w niektórych procesach przetwarzania dojdzie do zmiany celu przetwarzania – każda taka zmiana, powinna pociągać za sobą konieczność szczegółowego poinformowania podmiotu danych. Komunikacja o zmianach powinna nastąpić w taki sposób, aby ich odbiorcy mogli się z nią łatwo zapoznać np. poprzez wiadomość mailową, tradycyjną korespondencje, komunikat w aplikacji, okienko pop-up itd.
Ponadto, konieczna jest aktualizacja i zweryfikowanie rejestrów czynności przetwarzania o stare i nowe cele przetwarzania. Jednocześnie, nowy podmiot musi poinformować wszystkie podmioty, z którymi wcześniej zostały zawarte umowy powierzenia o wstąpieniu w prawa i obowiązki zbywcy przedsiębiorstwa. Jeżeli charakter powierzenia nie ulegnie zmianie, umowy powierzenia zachowają aktualność, zgodnie z zasadą sukcesji uniwersalnej.
