35 milliárdos GDPR bírság egy cégvásárlás kapcsán?


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Cégvásárlás esetén is fókuszban az adatvédelem. Az adatvédelem lassan beépül a társaságok mindennapi működésébe, egy közelmúltbeli eset ugyanakkor rávilágít arra, hogy cégvásárlás, vagy éppen cégértékesítés tervezésekor is kiemelt figyelmet kell fordítani a GDPR által szabályozott területre.

Azok számára, akik valamilyen pozícióban már érintettek voltak egy M&A tranzakcióban, nem újdonság a cégátvilágítás (due diligence) folyamata. Ennek a lényege, hogy a tranzakció tárgyát képező gazdasági társaságot a leendő vevő pénzügyi, adózási és jogi szempontból átvilágítja, felméri a társaságban rejlő kockázatokat. Általánosságban ennek a folyamatnak a része a céltársaság jogszerű működésének a vizsgálata is: annak vizsgálata, hogy a megvenni kívánt társaság működése mennyiben felel meg a jogszabályi előírásoknak, a rá vonatkozó akár speciális hatósági szabályozásnak, valamint saját belső szabályzatainak. A jogszerű működés vizsgálata pedig értelemszerűen magában foglalja az adatvédelmi jogszabályoknak (GDPR) való megfelelőség vizsgálatát is.

A felvásárlás után feltárt adatvédelmi incidens és a szállodalánc esete

Ez mindeddig önmagában nem újdonság, egy közelmúltban történt, jelenleg is folyamatban lévő ügy azonban ráirányította a figyelmet a GDPR kompatibilis működés szükségességére. Pontosabban az M&A tranzakciók során elvégzendő átvilágítás során a céltársaság GDPR megfelelőségi vizsgálatának fontosságára!

A jogeset* tényállása szerint az egyik globális szállodalánc-óriás, a Marriott International, Inc („Marriott”) 2016-ban felvásárolta a Starwood Hotels & Resorts Worldwide, Inc („Starwood”) társaságot. A tranzakció sikeres végrehajtását követően 2018-ban a Marriott egy rendkívül súlyos adatvédelmi incidenst fedezett fel a korábban megszerzett táraság működésében: globálisan mintegy 339 millió vendég különböző személyes adatai szivárogtak ki a cég informatikai rendszeréből. A gyanú szerint a megvásárolt hotellánc informatikai rendszerét még 2014-ben feltörték. Erre az incidensre és az ennek következtében történt folyamatos adatszivárgásra azonban egészen 2018-ig nem derült fény. Amikor a felvásárló végül észlelte az incidenst, azt azonnal jelentette az illetékes adatvédelmi hatóságnak, amely vizsgálatot indított.

Az illetékes adatvédelmi hatóság vizsgálatot indított és arra a következtetésre jutott, hogy a felvásárló szállodacsoport elmulasztotta lefolytatni a megfelelő alaposságú due dilligence vizsgálatot a kisebb hotellánc megvásárlásakor. Ezt követően pedig új tulajdonosként elmulasztotta megtenni a megfelelő technikai és szervezési biztonsági intézkedéseket a felvásárlást követően, 2016 és 2018 között. Mindezek miatt pedig az adatvédelmi hatóság közel 100 millió angol font összegű bírságot tervez kiszabni a GDPR rendelkezéseinek a megsértése miatt a felvásárló cégre. Az a körülmény, hogy a nemzetközi szállodacsoport végül maga derítette fel az adatvédelmi incidenst és jelentette azt az adatvédelmi hatóságnak – ebből kiindulva feltételezhetően maximálisan együtt is működött a hatósággal -, nem teszi meg nem történté az incidenst, ezzel a cég csupán a jogszabályi kötelezettségeit teljesítette. A bírság megállapítását az adatvédelmi hatóság egyelőre elhalasztotta, de március végére várható végleges álláspontja ebben az ügyben.

Mire kell figyelni adatvédelmi szempontból egy cégvásárlás során?

Az ügy legfontosabb tanulsága a végeredménytől függetlenül is deklarálható.

Az adatkezelők személyes adatok kezelése kapcsán fennálló felelőssége kiterjed arra, hogy kellően gondos átvilágítási eljárást folytassanak le M&A tranzakciók lebonyolítása során az adatvédelmi jogi és akár informatikai megfelelőség vonatozásában is.

De nem csak egy vevő, hanem cégeladás előtt álló tulajdonosok tekintetében is levonható a következtetés, hogy az adatvédelemi szempontú felkészülésre különös figyelmet kell fordítani. Ugyanis akár olyan kockázatok is felmerülhetnek, amelyek tekintetében a tulajdonos sem bír teljes körű ismeretekkel.

Emellett az eset az adatvédelmi jogi megfelelőség vetületén keresztül egyben rámutat az A tranzakciók alapjául szolgáló szerződések megfogalmazásának a fontosságára is. Ilyen esetben ugyanis nem csak az adatvédelmi hatósággal szemben merül fel a védekezés szükségszerűsége, de az M&A tranzakció eladójával szembeni megtérítési (kártérítési) igény érvényesítése is kulcskérdéssé válhat. Ennek az esélyei pedig nagyban függnek attól, hogy a felek milyen tartalmú tranzakciós szerződést írtak alá, így különösen, hogy milyen körben, milyen időbeli és összegszerű korlátozásokkal vállal szavatosságot az eladó a jogi megfelelőségre.

A bejegyzés szerzője dr. Oláh Tamás, ügyvéd, az RSM Legal szakértője. Az RSM Blog az Adó Online szakmai partnere.


Kapcsolódó cikkek

2024. június 17.

Július elsején indul az otthonfelújítási program

Július elsején indul az otthonfelújítási program, hosszabb futamidővel és többféle tevékenységre igényelhető támogatás – közölte az Energiaügyi Minisztérium és a Nemzetgazdasági Minisztérium.

2024. június 17.

Vegyes képet mutat a középkorúak keresetének alakulása

Vegyes képet mutat a bevételek alakulása a 30-59 éves korosztályban: a válaszadók 52 százaléka növekedésről számolt be, közel 35 százalékuknál nem történt változás, 13 százalékuknak pedig kevesebb jutott az elmúlt egy év során – áll a K&H biztos jövő felmérésében.

2024. június 14.

Még mindig sokan mondanak le a nyaralásról

Nagyon vegyes a kép az utazási tervek terén. Összességében javult a középkorúak utazási helyzete, és akik terveznek nyaralást, azok többet szánnak erre a K&H biztos jövő index szerint, de a koronavírus járvány utáni időszakhoz képest még mindig visszafogottnak mondható az utazási kedv. Ráadásul még mindig sokan vannak, akik a pénzhiány miatt nem tudnak hosszabb vakációt beiktatni: a válaszadók 71 százalékánál ez az indok. Ez az arány nem sokkal alacsonyabb a tavalyi 77 százaléknál, viszont még mindig jóval meghaladja a tavalyelőtti 58 százalékos arányt.