RODO w procesach M&A

Dlaczego kwestie RODO w procesach M&A są tak istotne?

Wzrost aktywności Prezesa UODO oraz wysokość kar, jakie mogą zostać nałożone na podmioty naruszające przepisy RODO, powodują, że kwestie związane z ochroną danych osobowych powinny mieć wpływ nie tylko na cenę transakcji, ale również na sposób określenia odpowiedzialności sprzedającego. Przykładem tego, że RODO nie powinno być lekceważone w procesach M&A, może być analiza jednej z decyzji ICO, brytyjskiego organu nadzoru, wydana w stosunku do sieci hoteli Marriott. Wywołała ona ożywione dyskusje nie tylko ze względu na wysokość nałożonej kary, ale również na okoliczności stwierdzonego naruszenia.

Agata Kowalska

materiały prasowe

Decyzja dotyczy zdarzenia, które miało miejsce jeszcze przed wejściem w życie RODO, a mianowicie ataku hakerskiego z 2014 r. na sieć informatyczną hoteli Starwood Hotels and Resorts Worldwide Inc. W wyniku ataku 339 mln rekordów dotyczących klientów hoteli Starwood z całego świata trafiło w ręce hakerów. Marriott przejął sieć hoteli Starwood w 2016 r., jednak dopiero we wrześniu 2018 r., a zatem dwa lata po przejęciu i cztery miesiące po wejściu w życie RODO, odkryto, że dostęp do danych osobowych z przejętej bazy ma ktoś nieupoważniony. W tym czasie hakerzy kontynuowali eksplorowanie systemów Starwood i uzyskali dostęp do danych właścicieli kart kredytowych w sieci, prawdopodobnie również z możliwością ich kopiowania. Dopiero uruchomienie przez hakerów specjalnego alarmu w odniesieniu do tabeli zawierającej dane właścicieli kart pozwoliło na wykrycie ataku oraz podjęcie działań zmierzających do ograniczenia jego skutków. Po otrzymaniu ostrzeżenia o nieuprawnionym dostępie do bazy danych Marriott niezwłocznie poinformował osoby, których dane dotyczą, i podjął natychmiastowe kroki w celu złagodzenia skutków ataku oraz ochrony interesów tych osób, poprzez wdrożenie środków zaradczych.

Joanna Toruniewska

materiały prasowe

Marriott nie przyjął na siebie odpowiedzialności za atak, podkreślając, że przed przejęciem był w stanie przeprowadzić jedynie ograniczone badanie due diligence systemów przetwarzania i baz danych Starwood. Podjął jednak wiele działań minimalizujących skutki ataku i zapobiegających podobnym zdarzeniom na przyszłość. ICO uznał jednak, że Marriott przetwarzał dane osobowe w sposób niezapewniający odpowiedniego bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przed przypadkową utratą, zniszczeniem lub uszkodzeniem. W konsekwencji na Marriott nałożona została kara w wysokości 18,4 mln funtów, obniżona istotnie w stosunku do pierwotnej kary ze względu na skutki, jakie dotknęły firmy w związku z pandemią.

Decyzja w sprawie sieci Marriott pokazuje nam, że kwestia ochrony danych osobowych nie może być pomijana w procesach fuzji i przejęć. Jeżeli nie przeprowadzimy rzetelnego audytu z zakresu ochrony danych osobowych – i to zarówno z perspektywy prawnej, jak i technicznej – konsekwencje tego zaniedbania mogą mieć daleko idące skutki, w tym finansowe. Zalecamy zatem, aby nie pomijać i nie obniżać znaczenia RODO w procesach due diligence ani później w dokumentacji transakcyjnej.

Czy to rozstrzygnięcie może mieć wpływ na rynek polski?

Sprawa Marriotta nie jest specyficzna dla jednego rynku. Analogiczne sytuacje mogą się zdarzać na całym świecie, również w Polsce. Dlatego obszar ochrony danych osobowych musi być elementem przeprowadzanego badania due diligence. Jeżeli natomiast w ramach badania okaże się, że RODO nie zostało prawidłowo wdrożone lub zabezpieczenia techniczne nie są wystarczające, mając na względzie wielkość baz i zakres przetwarzanych danych osobowych, to należy się zastanowić, czy cena ustalona w ramach transakcji nie powinna zostać zmniejszona. Oczywiście w każdym momencie można wdrożyć dodatkowe środki techniczne i organizacyjne, aby zabezpieczyć przetwarzane dane w większym zakresie, jednak może być tak, że historycznych błędów nie da się już naprawić i stan niezgodności z prawem wstecz pozostaje. To z kolei niesie ze sobą ryzyko nie tylko kar finansowych, ale też strat wizerunkowych.

W jakim stopniu odkryty „RODO bałagan" może wpłynąć na cenę transakcji?

Strony powinny to uzależnić od stopnia i rodzaju stwierdzonych naruszeń, a także przedmiotu działalności przejmowanej spółki. Nieprawidłowości w zakresie ochrony danych osobowych mogą mieć bowiem dużo dalej idące konsekwencje w spółce przetwarzającej na dużą skalę tzw. dane wrażliwe czy dane osobowe znacznej ilości osób fizycznych niż np. w spółce produkcyjnej obsługującej głównie osoby prawne. Dlatego ocena wpływu zidentyfikowanego ryzyka na cenę transakcji powinna być przeprowadzona w sposób indywidualny.

Jaki zakres danych osobowych może udostępnić spółka, w której przeprowadzany jest proces due diligence?

Przepisy RODO ani żadnych innych aktów prawnych nie precyzują, jakie dane osobowe taka spółka może udostępnić badającemu ani jakie środki powinna podjąć, żeby je prawidłowo zabezpieczyć. Praktyka też bywa różna w tym zakresie. Trudno sobie natomiast wyobrazić takie badanie due diligence, w ramach którego nie dochodzi do przekazania żadnych danych osobowych.

Wydaje się, że z punktu widzenia badanego podmiotu trzeba zacząć od zobowiązania podmiotu badającego do zapewnienia przekazywanym danym bezpieczeństwa i zachowania ich w poufności. W tym celu zawierane są mniej lub bardziej rozbudowane umowy o zachowaniu poufności. Istotny jest również wybór dostawcy usług VDR (virtual data room), przede wszystkim pod kątem gwarancji przestrzegania przez tego dostawcę przepisów RODO oraz możliwości udokumentowania tego faktu. Ale również z punktu widzenia narzędzi, jakie dostawca oferuje w celu zabezpieczenia danych udostępnianych w ramach VDR. Obecnie nietrudno o firmę, która umożliwia np. ochronę dokumentów przed kopiowaniem czy wydrukiem, monitorowanie dostępów do VDR, szyfrowanie danych itp.

Kiedy już zobowiązaliśmy nabywcę do zachowania poufności i wybraliśmy wiarygodnego dostawcę usług VDR, trzeba się zastanowić nad tym, które dane osobowe faktycznie są niezbędne do prawidłowej oceny kondycji spółki w ramach badania due diligence i czy celów badania nie można osiągnąć innymi sposobami niż ujawnienie konkretnych danych osobowych. Jest to tzw. test niezbędności przetwarzania. Jeśli test ten wypadnie negatywnie, spółka nie jest uprawniona do udostępnienia badającemu dokumentów obejmujących te dane lub przynajmniej zobowiązana jest do zanonimizowania przekazywanych dokumentów. Trzeba pamiętać, że nawet jeśli powyższy test wypadnie pozytywnie, przedmiotem udostępnienia mogą być tylko te dane, które są absolutnie niezbędne do realizacji celu przetwarzania. Wynika to z ogólnej zasady RODO – dane osobowe mogą być przetwarzane tylko w takich przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Zakres ujawnienia danych osobowych musi zatem pozostać proporcjonalny do celu przetwarzania.

Test niezbędności przetwarzania może być przeprowadzany w ramach procesu due diligence kilkakrotnie. Może się bowiem okazać, że dane, których ujawnienie we wstępnej fazie negocjacji nie było konieczne, staną się niezbędne na kolejnych etapach rozmów między stronami transakcji.

W jaki sposób należy podejść do kwestii RODO w momencie rozpoczęcie due diligence przed M&A, jeżeli jest się stroną kupującą?

Jak już wspominaliśmy, podejście do ochrony danych osobowych stanowi jeden z obszarów działalności przejmowanej spółki, który może być dla nas źródłem ryzyka w przyszłości. Dlatego podobnie jak wnikliwie analizujemy kwestie korporacyjne czy finansowe przejmowanej spółki, tak samo rzetelnie powinniśmy podejść do weryfikacji stanu zabezpieczenia danych osobowych w tej spółce, zwłaszcza jeśli ze względu na przedmiot jej działalności przetwarza ona znaczne ilości danych dużej liczby osób.

W praktyce kluczowe jest ustalenie, jakie dane osobowe, w jakich celach i na jakiej podstawie prawnej spółka przetwarza. Taka inwentaryzacja powinna być punktem wyjścia do oceny, czy dane są pozyskiwane zgodnie z prawem, czy są prawidłowo zabezpieczone, czy procedury w spółce pozwalają na realizację praw osób, których dane dotyczą, w tym spełnienie obowiązku informacyjnego. Obok analizy dokumentacji i procedur obowiązujących w spółce nie można też pominąć wsparcia ze strony służb IT, które powinny przeprowadzić audyt bezpieczeństwa systemów stosowanych przez spółkę.

Kwestia ochrony danych osobowych przy prowadzeniu due diligence pojawia się również w innym kontekście. Badanie oznacza, że najprawdopodobniej potencjalny kupujący wejdzie w posiadanie wielu różnych danych osobowych, wobec których zobowiązany będzie podjąć odpowiednie środki bezpieczeństwa.

Czy w ramach procesu due diligence dane są powierzane czy udostępniane?

W praktyce można się spotkać z żądaniem podpisania umowy powierzenia przetwarzania danych osobowych na potrzeby przeprowadzenia badania due diligence. Zapewne żądanie takie jest wyrazem chęci zabezpieczenia danych przekazywanych potencjalnemu nabywcy. W naszej ocenie jednak podejście takie jest błędne.

Powierzenie przetwarzania danych dotyczy sytuacji, kiedy administrator danych osobowych przekazuje je innemu podmiotowi (tzw. procesorowi), który ma przetwarzać dane w imieniu administratora. Oznacza to, że procesor nie przetwarza powierzonych mu danych we własnych celach, nie może też samodzielnie decydować o zakresie przetwarzanych danych. Podejmuje wyłącznie te działania, do których zobowiązał go administrator. W przypadku badania due diligence przeprowadzanego przez podmiot zainteresowany nabyciem badanej spółki nie mamy do czynienia z taką sytuacją. W szczególności potencjalny nabywca nie przetwarza danych osobowych udostępnionych mu w ramach przekazanej dokumentacji dla celów nabywanej spółki, lecz dla swoich własnych. To w jego własnym interesie jest zweryfikowanie stanu prawnego, finansowego czy technicznego spółki, czemu służyć ma badanie jej dokumentacji, która może obejmować również dane osobowe jej pracowników, kontrahentów i klientów. W omawianym przypadku mamy więc raczej do czynienia z dwoma równorzędnymi podmiotami, z których każdy działa we własnym imieniu i przetwarza dane osobowe dla własnych celów. Podmiot badający jest zatem samodzielnym administratorem danych osobowych, a nie podmiotem przetwarzającym dane na zlecenie nabywanej spółki.

Oznacza to również, że na podmiocie tym będą ciążyły wszystkie obowiązki administratora wynikające z RODO, w szczególności wdrożenie odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie, że przetwarzanie danych osobowych odbywa się zgodnie z prawem oraz z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.

Na jakiej podstawie prawnej badający przetwarza dane osobowe udostępnione mu w ramach badania due diligence?

Ustalenie podstawy prawnej upoważniającej do przetwarzania danych osobowych jest zagadnieniem, nad którym należy się zastanowić, zanim zaczniemy te dane przetwarzać. Na gruncie RODO istnieje kilka przesłanek legitymizujących przetwarzanie danych osobowych, jednak w przypadku badania due diligence, w naszej ocenie, powinniśmy się oprzeć na niezbędności przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, czyli art. 6 ust. 1 lit. f RODO. Interes ten polegać będzie na ustaleniu kondycji prawnej i finansowej spółki, którą administrator zamierza nabyć, identyfikacji ryzyka związanego z planowaną transakcją, ustaleniu warunków sprzedaży itp.

Opierając się na tej przesłance legalizującej przetwarzanie danych osobowych, trzeba jednak pamiętać, że przetwarzanie danych osobowych na tej podstawie nie będzie możliwe, kiedy nadrzędny charakter wobec interesów administratora będą miały interesy lub podstawowe prawa i wolności osób, których dane dotyczą. Tu z pomocą przychodzi kolejny test – test równowagi. Jego przeprowadzenie polega na zważeniu dwóch istotnych interesów: badającego jako administratora danych oraz osób, których dane mogą znajdować się w badanej dokumentacji. Jeśli przeważą interesy administratora danych, może on bez przeszkód pozyskiwać i przetwarzać dane osobowe bez konieczności zgody osoby, której one dotyczą. Jeśli jednak przeważą interesy osoby, której dane dotyczą, oparcie się na przesłance prawnie uzasadnionego interesu nie będzie możliwe. Nie oznacza to jednak, że trzeba zrezygnować z realizacji tego interesu i odstąpić od badania due diligence. Konieczne będzie jednak dokonanie pewnych zmian w procesie przetwarzania, tak aby ograniczyć wpływ przetwarzania na osoby, których dane dotyczą. Przykładowo, poprzez zastosowanie bardziej restrykcyjnych technicznych środków bezpieczeństwa, pseudonimizację lub anonimizację danych osobowych, ograniczenie kręgu osób, które będą miały dostęp do danych osobowych, itp.

Czy w procesach M&A należy realizować obowiązek informacyjny wobec osób, których dane są udostępniane w ramach due diligence ?

Spełnienie obowiązku informacyjnego, czyli przekazanie osobie, której dane dotyczą, kluczowych informacji dotyczących administratora, sposobu przetwarzania przez niego danych oraz praw, jakie przysługują osobie, której dane dotyczą, stanowi podstawowy obowiązek każdego administratora. Przepisy RODO przewidują co prawda pewne sytuacje, kiedy od spełnienia tego obowiązku można odstąpić przy pozyskiwaniu danych osobowych od podmiotu trzeciego (czyli nie bezpośrednio od osoby, której dotyczą, lecz np. od jej pracodawcy lub kontrahenta). Wydaje się jednak, że żaden z tych wyjątków nie będzie dotyczył sytuacji podmiotu przeprowadzającego badanie due diligence nabywanej spółki.

Z drugiej natomiast strony trzeba mieć na uwadze nie tylko trudności organizacyjne i koszty związane z przekazaniem stosownych klauzul informacyjnych wszystkim osobom, których dane pojawiają się w badanej dokumentacji, ale również fakt, że ujawnienie się potencjalnego nabywcy wobec tych osób może mieć istotny wpływ na samą transakcję. W praktyce, jeżeli mamy dużą fuzję z udziałem spółek publicznych i podejmowana jest decyzja o opóźnieniu informacji o planowanym przejęciu, w większości wypadków taka informacja ujrzy światło dziennie dopiero w momencie sfinalizowania transakcji, kiedy spółka publikuje raporty bieżące na temat sprzedaży. Proces badania due diligence, negocjowania i finalizowania transakcji może trwać wiele miesięcy, tymczasem zgodnie z RODO obowiązek informacyjny spełnić należy nie później niż w ciągu miesiąca od dnia pozyskania danych osobowych. Z kolei realizacja obowiązku informacyjnego doprowadziłaby do ujawnienia planowanych działań szerokiej grupie osób, w tym być może również konkurentom rynkowym.

Niestety, wciąż nie mamy stanowiska Prezesa UODO odnośnie do tego zagadnienia, a praktyczny problem niewątpliwie istnieje. Spółki muszą zatem wyważyć ryzyko związane z zaniechaniem wypełnienia obowiązku informacyjnego i narażeniem się na kary finansowe ze strony Prezesa UODO z jednej strony, z drugiej zaś ryzyko dotyczące ujawnienia planów odnośnie do transakcji szerokiej grupie osób już na etapie badania due diligence, kiedy nie jest nawet jeszcze pewne, czy do transakcji rzeczywiście dojdzie.

Czy strona kupująca może się zabezpieczyć przed ewentualną odpowiedzialnością, gdyby się okazało, że doszło do naruszeń RODO, których w ramach due diligence nie namierzono?