Tietosuojasta yrityskaupassa

Mikko Jalkanen

Blogit

19.09.2016

Yrityskaupassa ostaja ei halua hankkia sikaa säkissä eikä myyjänkään edun mukaista yleensä ole myydä koiraa haudattuna. Huolellisesti valmistellussa yrityskaupassa nämä siat ja koirat yleensä havaitaan ennen kauppaa tehtävässä due diligence -tarkastuksessa. Nykypäivänä on kuitenkin syytä miettiä uudelleen, että mitä oikeastaan tulisi tarkistaa yrityskaupan yhteydessä.

Yhtenä esimerkkinä tästä kehityksestä – vapaan analogian keinoin ilmaistuna sikojen ja koirien evoluutiosta – on EU:n uuden tietosuoja-asetuksen voimaantulo vuoden 2018 alussa. Tietosuoja-asetus tulee luomaan yrityksille uusia velvoitteita, joiden keskiössä on henkilötietojen korostunut suoja sekä rekisteripitäjien vastuu. Digitalisaation myötä liiketoimintaan liittyvän tietomassan, siihen perustuvan analytiikan sekä muun hyödyntämisen merkitys korostuu, eikä yrityksillä ole yksinkertaisesti varaa ottaa sitä riskiä, että tietoa ei saisikaan käyttää suunnitellulla tavalla. Pahimmassa tapauksessa tietosuojaan liittyvistä vääristä menettelytavoista voi liiketoiminnan sakkaamisen lisäksi seurata myös merkittäviä seuraamusmaksuja.

Henkilötietojen luovuttaminen on varsin tiukasti lailla säänneltyä ja nämä säännökset koskevat tietosuoja-asetuksen voimaantulon jälkeen entistä kiinteämmin myös yrityskauppatilanteita. Myyjä ei nykyäänkään voi luovuttaa henkilötietoja ostajalle pelkästään siitä syystä, että ostajan tulee saada yhtiötä koskevia tietoja ostoneuvotteluissa. Pelkkä yleisluonteinen salassapitosopimuskaan ei tarkoita sitä, että myyjä voisi luovuttaa henkilötietoja ennen yrityskaupan toteutumista. Henkilötietojen kerääminen ja prosessointi ovat sidoksissa henkilörekisterin käyttötarkoitukseen tai henkilön suostumukseen ja kaikelle tällaiselle tulisi olla laillinen peruste. Yrityskauppatilanteessa ei kuitenkaan ole mahdollista pyytää esimerkiksi työntekijöiltä suostumusta heitä koskevien tietojen luovuttamiseen, joten vaihtoehtoja on mietittävä.

Tietojen luovuttamiseen liittyvän laillisen perusteen lisäksi yhtä tärkeää on varmistua siitä, että luottamukselliset tiedot eivät jää ulkopuolisille. Sopimuksilla tai erilaisilla teknisillä järjestelyillä tulisikin varmistua siitä, että luottamukselliset tiedot saadaan todellisuudessa palautettua eivätkä ne jää ostajan tai ostajan käyttämien ulkopuolisten asiantuntijoiden saataville.

Kun yrityskaupassa sovitaan kaupan keskeisistä ehdoista ja vastuista, tulisi yhtenä jälkihoitotoimena muistaa myös rekisterien ylläpitovastuut. Yrityskaupoissa toteutetaan usein erilaisia siirtymäaikoja ja osapuolet voivat tuottaa toisilleen palveluita, jotka edellyttävät luottamuksellisten tietojen hallintaa tai käyttöä. Rekistereiden ylläpidot ja tietojen siirrot eivät muutenkaan tapahdu hetkessä, vaan ne edellyttävät järjestelmätoimenpiteitä sekä henkilörekistereihin liittyvien dokumenttien päivityksiä. Yleisluonteinen kauppakirjan lauseke kaikkien liiketoiminnan vastuiden siirtymisestä kaupantekohetkellä osoittautuukin tietosuojavelvoitteiden kannalta helposti riittämättömäksi.

Hyvin hoidetut tietosuojavelvoitteet eivät välttämättä nosta yhtiön arvoa, mutta näiden asioiden leväperäinen hoitaminen voi alentaa yhtiön houkuttelevuutta ostajan kannalta. Vaikka riskien siirtämisestä ja vastuista voidaan jossain määrin sopia kauppakirjassa, on yrityksen hallinnoimissa rekistereissä oleva tieto merkittävä liiketoiminnan jatkon kannalta ja ostaja joutuu joka tapauksessa kantamaan siihen liittyvät riskit. Mikäli yritys ei huolehdi tietosuojaan liittyvien velvoitteiden toteuttamisesta ajoissa, voi näistä asioista muodostua tässä kirjoituksessa tarkoitettu sika tai koira.