35 milliárdos GDPR bírság egy cégvásárlás kapcsán?

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Cégvásárlás esetén is fókuszban az adatvédelem. Az adatvédelem lassan beépül a társaságok mindennapi működésébe, egy közelmúltbeli eset ugyanakkor rávilágít arra, hogy cégvásárlás, vagy éppen cégértékesítés tervezésekor is kiemelt figyelmet kell fordítani a GDPR által szabályozott területre.

Azok számára, akik valamilyen pozícióban már érintettek voltak egy M&A tranzakcióban, nem újdonság a cégátvilágítás (due diligence) folyamata. Ennek a lényege, hogy a tranzakció tárgyát képező gazdasági társaságot a leendő vevő pénzügyi, adózási és jogi szempontból átvilágítja, felméri a társaságban rejlő kockázatokat. Általánosságban ennek a folyamatnak a része a céltársaság jogszerű működésének a vizsgálata is: annak vizsgálata, hogy a megvenni kívánt társaság működése mennyiben felel meg a jogszabályi előírásoknak, a rá vonatkozó akár speciális hatósági szabályozásnak, valamint saját belső szabályzatainak. A jogszerű működés vizsgálata pedig értelemszerűen magában foglalja az adatvédelmi jogszabályoknak (GDPR) való megfelelőség vizsgálatát is.

A felvásárlás után feltárt adatvédelmi incidens és a szállodalánc esete

Ez mindeddig önmagában nem újdonság, egy közelmúltban történt, jelenleg is folyamatban lévő ügy azonban ráirányította a figyelmet a GDPR kompatibilis működés szükségességére. Pontosabban az M&A tranzakciók során elvégzendő átvilágítás során a céltársaság GDPR megfelelőségi vizsgálatának fontosságára!

A jogeset* tényállása szerint az egyik globális szállodalánc-óriás, a Marriott International, Inc („Marriott”) 2016-ban felvásárolta a Starwood Hotels & Resorts Worldwide, Inc („Starwood”) társaságot. A tranzakció sikeres végrehajtását követően 2018-ban a Marriott egy rendkívül súlyos adatvédelmi incidenst fedezett fel a korábban megszerzett táraság működésében: globálisan mintegy 339 millió vendég különböző személyes adatai szivárogtak ki a cég informatikai rendszeréből. A gyanú szerint a megvásárolt hotellánc informatikai rendszerét még 2014-ben feltörték. Erre az incidensre és az ennek következtében történt folyamatos adatszivárgásra azonban egészen 2018-ig nem derült fény. Amikor a felvásárló végül észlelte az incidenst, azt azonnal jelentette az illetékes adatvédelmi hatóságnak, amely vizsgálatot indított.

Az illetékes adatvédelmi hatóság vizsgálatot indított és arra a következtetésre jutott, hogy a felvásárló szállodacsoport elmulasztotta lefolytatni a megfelelő alaposságú due dilligence vizsgálatot a kisebb hotellánc megvásárlásakor. Ezt követően pedig új tulajdonosként elmulasztotta megtenni a megfelelő technikai és szervezési biztonsági intézkedéseket a felvásárlást követően, 2016 és 2018 között. Mindezek miatt pedig az adatvédelmi hatóság közel 100 millió angol font összegű bírságot tervez kiszabni a GDPR rendelkezéseinek a megsértése miatt a felvásárló cégre. Az a körülmény, hogy a nemzetközi szállodacsoport végül maga derítette fel az adatvédelmi incidenst és jelentette azt az adatvédelmi hatóságnak – ebből kiindulva feltételezhetően maximálisan együtt is működött a hatósággal -, nem teszi meg nem történté az incidenst, ezzel a cég csupán a jogszabályi kötelezettségeit teljesítette. A bírság megállapítását az adatvédelmi hatóság egyelőre elhalasztotta, de március végére várható végleges álláspontja ebben az ügyben.

Mire kell figyelni adatvédelmi szempontból egy cégvásárlás során?

Az ügy legfontosabb tanulsága a végeredménytől függetlenül is deklarálható.

Az adatkezelők személyes adatok kezelése kapcsán fennálló felelőssége kiterjed arra, hogy kellően gondos átvilágítási eljárást folytassanak le M&A tranzakciók lebonyolítása során az adatvédelmi jogi és akár informatikai megfelelőség vonatozásában is.

De nem csak egy vevő, hanem cégeladás előtt álló tulajdonosok tekintetében is levonható a következtetés, hogy az adatvédelemi szempontú felkészülésre különös figyelmet kell fordítani. Ugyanis akár olyan kockázatok is felmerülhetnek, amelyek tekintetében a tulajdonos sem bír teljes körű ismeretekkel.

Emellett az eset az adatvédelmi jogi megfelelőség vetületén keresztül egyben rámutat az A tranzakciók alapjául szolgáló szerződések megfogalmazásának a fontosságára is. Ilyen esetben ugyanis nem csak az adatvédelmi hatósággal szemben merül fel a védekezés szükségszerűsége, de az M&A tranzakció eladójával szembeni megtérítési (kártérítési) igény érvényesítése is kulcskérdéssé válhat. Ennek az esélyei pedig nagyban függnek attól, hogy a felek milyen tartalmú tranzakciós szerződést írtak alá, így különösen, hogy milyen körben, milyen időbeli és összegszerű korlátozásokkal vállal szavatosságot az eladó a jogi megfelelőségre.

A bejegyzés szerzője dr. Oláh Tamás, ügyvéd, az RSM Legal szakértője. Az RSM Blog az Adó Online szakmai partnere.

---